jueves, 16 de julio de 2015

Funcionalidad + seguridad

La intención con respecto a este post no es más que recordar que debemos de empezar a trabajar teniendo el concepto de seguridad informática siempre presente, por lo que seré escueto.

Os pongo en antecedentes ... me encuentro realizando un curso on-line en la plataforma de una de tantas compañias de formación.

Primera cosa que me encuentro nada más entrar ...

Página de acceso al curso

NO veo la imagen del candado, lo que indica que mis comunicaciones NO van a ir por un canal cifrado, es decir, toda información enviada o recibida va a ir en texto claro.

Por lo que, no me voy por las ramas, vamos a ver si me paso todos los examenes que me depare el curso si haberme leído ni un solo tema.

Para lo cuál investigo la plataforma y empiezo a buscar en el primer tema el apartado de test/examen/prueba ...

Al encontrarlo, realizo el test:


Test encontrado

Selecciono el botón de continuar:
Botón continuar
               
Se muestra un mensaje con las respuestas acertadas y la solución a todas las preguntas.


Respuestas acertadas

Tras lo cuál y tras pulsar de nuevo el botón de continuar, se produce el envío de los resultados al servidor de la plataforma representado en la variable "Nota".

Envío de información a los servidores de la plataforma educativa

Como se puede percibir este valor podría ser cambiado "al vuelo" para poner cualquier otro valor.

Cambio de valor para colocar un 500

Conclusiones

Se puede modificar cualquier valor en las comunicaciones visualizadas, con los riesgos que ello implica.

Por lo que, por favor, la funcionalidad está bien pero lo funcionalidad + seguridad está mejor.

Notas adicionales.

Añadir que se ha contactado con la empresa responsable de la plataforma para comentarles el problema y sugerirles que instalen en el servidor un certificado que englobe a todo el sitio.



No hay comentarios:

Publicar un comentario