miércoles, 20 de enero de 2010

Los médicos se enfrentan a la dirección del Ramón y Cajal

'Los facultativos del hospital Ramón y Cajal se han enfrentado abiertamente a la gerencia del centro. Ayer el 97 % de los traumatólogos secundó la huelga convocada por los sindicatos Femyts y CSIT. La asamblea celebrada a mediodía acordó hacer un día de paro general en febrero.

La movilización no busca mejoras salariales. Se trata de revocar el nombramiento "a dedo" del nuevo jefe de servicio de Traumatología y Cirugía Ortopédica. La dirección anunció que la vacante se cubriría por concurso de méritos y mediante tribunal. Finalmente, se otorgó de forma directa a un médico del hospital Santa Cristina. La viceconsejera de Sanidad, Ana Sánchez, contó a ADN que el nombramiento "es temporal" y que la protesta "es desmedida".

"Es una protesta para que se cumpla la legalidad", explicaba ayer una portavoz de CSIT. El conflicto se ha extendido a todo el centro. Los diez miembros de la Junta Técnica Asistencial (órgano consultivo en cuanto a atención sanitaria) dimitieron, según el sindicato. El hospital se limitó a responder: "Se han cumplido los servicios mínimos".'

Fuente: ADN 20/01/10


Una huelga de traumatólogos deja sin operaciones al Ramón y Cajal

'La viceconsejera, Ana Sánchez, defendió ayer la capacitación profesional del médico. "Está fuera de toda duda; su currículum es impecable", aseguró. "Está siendo objeto de un acoso tremendo. Simplemente ha aceptado un encargo de la Consejería para dirigir un servicio que llevaba mucho tiempo sin jefatura". Llopis [el nuevo jefe de servicio] calificó ayer de "infamias y calumnias" las acusaciones de sus subordinados.

El puesto de jefe de servicio llevaba casi dos años sin cubrir, desde la jubilación del anterior. El hospital estaba preparando la convocatoria y seleccionando a los miembros del tribunal que iba a juzgar los méritos de los aspirantes. Pero la plaza no llegó a convocarse y Sanidad nombró a Llopis.'

Fuente y noticia completa: El País 20/01/2010


Entradas relacionadas:

martes, 19 de enero de 2010

INFORSALUD 2010. Programa preliminar disponible. Ponentes de Sanidad de Madrid.

Tal y como ya hemos informado, durante los próximos 9 y 11 de Febrero tendrá lugar en Madrid INFORSALUD 2010 ( o XIII Congreso Nacional de Informática de la Salud) organizado por la SEIS (Sociedad Española de Informática de la Salud). Ya está disponible el Programa preliminar.

Según este programa los ponentes previstos de Sanidad de la Comunidad de Madrid serán

  • 10/02 12:00-14:00 Sesión corporativa de debate "Las TIC en la Sostenibilidad de los Sistemas para la Salud y el Bienestar": Dª Zaida Sampedro Préstamo, Dir. Gral. de Sistemas de Información Sanitaria del SERMAS.

  • 10/02 16:00-17:30 Mesa Redonda 3 "Innovación en los Sistemas de Salud": Sra. Dª Elena Juárez Peláez, Dir. Gral. de Atención al Paciente de la Consejería de Sanidad, con la ponencia "Libre Elección de Médico"

  • 11/02 13:00-13:30 Sesión plenaria - Conferencia de cierre "Las TIC en la Sostenibilidad de los Sistemas para la Salud y el Bienestar" . Sr. D. Juan José Güemes Barrios, Consejero de Sanidad de la Comunidad de Madrid.

Alemania y Francia recomiendan no utilizar Internet Explorer. "Exploits" mejorados

Alemania y Francia recomiendan no utilizar Internet Explorer

'Es una decisión sin precedentes que va un paso más allá de las recomendaciones de seguridad que puedan hacer fabricantes de software o analistas de empresas privadas. El Gobierno alemán, mediante la Oficina Federal para la Seguridad en Tecnologías de la Información (BSI), ha recomendado utilizar un navegador alternativo a los usuarios que usen Internet Explorer 6, 7 y 8 hasta que Microsoft lance una actualización que solucione sus problemas de seguridad.

En el mismo sentido se ha pronunciado la Agencia Nacional de Seguridad francesa (Certa), mientras la compañía intenta solventar un fallo que permite ejecutar un código a distancia cuando se navega con Explorer.

Microsoft ha reconocido que los recientes ataques a los servidores de 35 compañías, entre ellas Google, utilizaron un agujero de seguridad de su navegador, pero rechaza la drástica advertencia realizada por estas dos agencias gubernamentales y afirma que el riesgo para los usuarios es bajo. La compañía considera que los ataques fueron realizados por programadores expertos, "con un fin muy específico" y sin afectar a "usuarios comunes".

Aunque la siguiente actualización de seguridad del navegador de Microsoft no estaba prevista hasta febrero, la compañía ya está trabajando en un parche. Por el momento, recomienda desactivar varios comandos de su navegador, pero la Administración alemana alerta de que esas medidas no son suficientes.'

Fuente y noticia completa: Publico 19/01/2010

NOTA DEL EDITOR [20/01 corregida errata en las versiones con DEP por defecto]: Microsoft informaba que el "exploit" concreto que circula por Internet no funciona más que en IE 6 sobre Windows XP y 2000, que dicho "exploit" deja de funcionar si se activa la caracteristica "DEP" para IE (para su version 6 posible sólo en XP SP2 o SP3) y que los equipos Windows con "DEP" activado para IE estarían bastante protegidos de exploits similares (por defecto, DEP está activado en IE 8 sobre XP SP3, Vista SP1 o superior, Windows 7 y Windows Server 2008);
Microsoft recomendaba habilitar DEP en las combinaciones de Windows+IE donde es posible y no lo esté ya, sugiriendo en su aviso de seguridad como medidas adicionales, mitigadoras pero con pérdidas importantes de funcionalidad, de elevar a "High" la configuración de seguridad de IE o de desactivar Active Scripting (JavaScript) del navegador por sitios o siempre.


Operación Aurora: Francia recomienda dejar de utilizar Internet Explorer .., [en una organización] ¿es una buena idea cambiar de navegador para evitar la vulnerabilidad de Microsoft?

'Recuerde: si su departamento informático no da soporte ya de un navegador alternativo y sus usuarios no son familiares con él, puede causar más problemas con el nuevo navegador como para que no merezca la pena el cambio.

Además puede que tenga aplicaciones basada en web que no funcionen bien o incluso no funcionen bien si no es con Internet Explorer.'

' Mi consejo es abandonar Internet Explorer sólo si usted sabe realmente lo que está haciendo ..."

'Mi predicción es que Microsoft está trabajando duro para distribuir un parche para la vulnerabilidad antes de la distribución periódica usual. Resolverá el serio problema de seguridad antes de que este problema cause más daño al prestigio de Internet Explorer.'

Fuente y opinión completa: Blog de G. Cluley de Sophos 18/01/2010 Traducción nuestra


Información adicional sobre DEP y la vulnerabiliad '0day' (sin parche disponible) de Internet Explorer

'La nueva vulnerabilidad de seguridad de Internet Explorer descrita en el Aviso de Seguridad 979352 de Microsoft ha despertado mucho interés en los días pasados. El equipo de Internet Explorer está trabajando duro para preparar una actualización de segurida exhaustiva que resuelva la vulenrabilidad y el MSRC anunció que tan pronto esté disponible la actualización será distribuida.

Hemos recibido varias preguntas de clientes que desean proteger sus entornos mientras tanto, la mayor parte sobre Data Execution Prevention (DEP), una medida mitigadora ya discutida en nuestra entrada previa de blog.'

Fuente e información completa: Microsoft 18/01/2010 Traducción nuestra


El exploit 'Aurora' mejorado para superar la seguridad DEP de Internet Explorer. Microsoft prevé un parche de emergencia.

'Los peores presagios de los expertos en seguridad acerca del "exploit" de Internet Explorer utilizado para adentrarse en Google y otras compañías acaba de cumplirse: se puede modificar para que supere la mejor defensa de Internet Explorer, la característica "Data Execution Protection" (DEP).'

'VUPEN Security dice haber confirmado que DEP no protege del [su nuevo] exploit y que la única forma de evitarlo es desabilitar JavaScript'

Fuente y noticia completa: Security Dark Reading 19/01/2010
Traducción nuestra

Entradas relacionadas:

Una vulnerabilidad de Internet Explorer sin parche disponible, detrás de ataques a grandes compañías

Un bug en Internet Explorer, detrás de ataques a grandes compañías
' Hace unos días Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail, señalando que tenían evidencias de que el objetivo final era la obtención de información sobre activistas chinos para los derechos humanos.... tras un análisis del malware, llevado a cabo por la empresa McAfee, ... descubrieron los investigadores [de McAfee que] fue una vulnerabilidad desconocida en el navegador de Microsoft, Internet Explorer, que permite ejecutar código arbitrario...' Fuente y noticia completa: Barrapunto 15/01/2010

'Hackers se aprovecharon de una vulneabilidad sin parche del navegador Microsoft Internet Explorer (IE) para penetrar en algunas compañías que fueron blanco de un ataque generalizo que acabó comprometiendo las redes corporativas de Google y Adobe, ha dicho Mc Afee hoy". Fuente y noticia completa: Computerworld 14/01/2010 Traducción nuestra.

'Con nuestra investigación descubrimos que en una de las muestras de software malicioso implicadas en estos ataques generalizados se saca provecho de una nueva y desconocida vulnerabilidad de Microsoft Internet Explorer. Informamos a Microsoft que publicó un aviso de seguridad y una entrada de blog sobre el asunto en la tarde del Martes. Como en la mayoría de los ataques dirigidos, los intrusos consiguieron el acceso a la organización correspondiente dirigiendo un ataque a medida a un individuo o unos pocos individuos elegidos como blanco. Sospechamos que fueron elegidos por su acceso a información de valiosa propiedad intelectual. Esos ataques habrían procedido de una fuente aparentemente fiable, conduciendo al blanco a caer en la trampa siguiendo un enlace o abriendo un fichero. Aquí es cuando el aprovechamiento de la vulnerabilidad de Microsoft Internet Explorer tiene lugar [para descargarse e instalarse de forma inadvertida un troyano]. Fuente y noticia completa: McAfee Security Blog 14/01/2010 Traducción nuestra.

Código de aprovechamiento ("exploit code") de CVE-2010-0249 disponible públicamente
'Se han publicado los detalles de un exploit contra la vulnerabilidad CVE-2010-0249, la del Aviso de Seguridad de Microsoft Security 979352, también conocida como Aurora. Se trata de una vulnerabilidad en mshtml.dll que funciona como ya se había dicho en IE6 pero si se habilita DEP ["Data Execution Prevention"] en IE7 o en IE8 el "exploit" no consigue ejecutar código alguno. Se espera que Microsoft tenga el parche disponible en su día habitual de parches en Febrero. No parece probable un parche antes a menos que lo publiquen terceros". Fuente y noticia completa: Internet Storm Center 15/01/2010

Entradas relacionadas:

Los nombramientos "a dedo" en los hospitales de Madrid serán revocados si el PSOE vence en 2011

'El secretario general del PSM-PSOE, Tomás Gómez, ha señalado hoy que todos los nombramientos "a dedo" que se hayan podido dar durante la época de Esperanza Aguirre en los centros hospitalarios serán revocados el año que viene si el PSOE llega al poder y le arrebata la silla a la actual presidenta madrileña. Así lo ha manifestado después de denunciar algunas informaciones que apuntan a que en el Hospital Clínico y en el Ramón y Cajal se han tomado algunas "decisiones arbitrarias" por parte del Gobierno autonómico.'

Fuente y noticia completa: El País 18/01/2010

Entradas relacionadas:

lunes, 18 de enero de 2010

[Según UGT y CCOO] La Consejería de Sanidad no justifica el área única ante el defensor del pueblo

'En respuesta al requerimiento del Defensor del Pueblo, tras un procedimiento instado por UGT y CCOO, estos sindicatos han denunciado que la Consejería de Sanidad de Madrid es incapaz de razonar y justificar la necesidad de un Área Única para seis millones de habitantes, dando así muestras de que sólo pretende abrir la puerta a la privatización del Servicio Madrileño de Salud.'

'CCOO y UGT denuncian que el verdadero objetivo del Gobierno de la Comunidad de Madrid es liberalizar y desregular el sistema público para hacer más fácil o inevitable la privatización del Servicio Madrileño de Salud, atendiendo a la premisa de "la salud una oportunidad de negocio".'

Fuente y noticia completa: Acta Sanitaria 18/01/2010


Huelga de los traumatólogos del Hospital Ramón y Cajal contra una cacicada

'La Asociación Profesional de Médicos y Facultativos de la Comunidad de Madrid (SIME) y la Federación de Médicos y Titulados Superiores de Madrid (FEMYTS) han acordado convocar y apoyar la huelga de cuatro días de los médicos del Servicio de Traumatología del Hospital Ramón y Cajal contra el nombramiento, en comisión de servicio, del jefe de dicha unidad sin atender a los criterios legalmente establecidos de transparencia, mérito, capacidad y publicidad por parte de la Consejería de Sanidad de Madrid.

La convocatoria de huelga, para los próximos días 19, 21, 26 y 28 de enero alcanza a los cuarenta facultativos especialistas en Traumatología del Hospital Ramón y Cajal, referente para la Atención Especializada del Área 4 de Madrid que agrupa a más de 600.000 ciudadanos.

Según los convocantes, no se trata de una huelga económica ni entre sus reivindicaciones existe ningún componente de esta naturaleza: ante la negativa de la Gerencia del Hospital y de los máximos responsables de la Consejería de Sanidad de dejar sin efecto una auténtica 'cacicada', el nombramiento en comisión de servicio de un jefe de servicio de Traumatología, desplazando al que lo estaba realizando en funciones, con excelentes resultados y a satisfacción de sus compañeros, se convoca esta huelga con tres objetivos: la retirada del nombramiento de comisión de servicio, la reposición temporal de la persona que venía desarrollando el cargo en funciones y la convocatoria inmediata de la cobertura de la plaza mediante concurso público cuyo tribunal ya estaba constituido. Es decir, se emplaza a la Consejería de Sanidad a cumplir la legislación vigente en la provisión de plazas.'

Fuente y noticia completa: Acta Sanitaria 14/01/2010

SITNOS: Acto de Presentación

'SITNOS: SINDICATO INDEPENDIENTE DE TRABAJADORES NO SANITARIOS

LOS PONENTES EXPLICARÁN EL MODELO SINDICAL Y LOS PROYECTOS DE FUTURO DEL SINDICATO ADEMÁS INFORMAREMOS DEL ÁREA ÚNICA

LUGAR: GERENCIA ÁREA 11 ATENCIÓN PRIMARIA SALÓN DE ACTOS C/ Alberto Palacios, 22 (28021) Madrid

FECHA: MIÉRCOLES 20 DE ENERO DE 2010 A LAS 15:00 HORAS

¡ESPERAMOS VUESTRA ASISTENCIA!'

Fuente: Web de SITNOS 17/01/2010 y correo recibido en APISCAM

domingo, 17 de enero de 2010

SITNOS: Creación de categorías estatutarias del ámbito de las tecnologías de la información y las comunicaciones dependientes del SERMAS

'El Gobierno de la Comunidad de Madrid, no sabemos si por iniciativa propia o por la situación insostenible que se estaba produciendo, ha dado el primer paso en un intento por solucionar el problema que venían reclamando nuestros compañeros de los servicios de informática que no era otro que el reconocimiento de las funciones como informáticos de Sanidad.

Las categorías creadas son las siguientes:


  • Técnico Superior de Sistemas y Tecnologías de la Información
  • Técnico de Gestión de Sistemas y Tecnologías de la Información
  • Técnico Especialista en Sistemas y Tecnologías de la Información


Recordemos que todos ellos están en una situación precaria, contratados en la función administrativa y con 2/3 de su plantilla con contratos temporales.

La disposición final segunda de la ley de acompañamiento donde se ha publicado la creación de estas categorías habilita al Consejo de Gobierno de la Comunidad de Madrid para que reglamentariamente, en el plazo de tres meses a partir de la entrada en vigor de la presente ley y previa negociación en los órganos de representación competentes, regule los requisitos y condiciones de integración del personal que actualmente desempeña funciones informáticas en las Instituciones Sanitarias dependientes del Servicio Madrileño de Salud en las nuevas categorías estatutarias que se crean en esta norma.

Desde el Sindicato SITNOS queremos indicar que estaremos atentos en los próximos meses a las medidas que el gobierno regional tome en relación a todo lo que queda pendiente como es la adscripción y consolidación del personal que desempeña actualmente estas funciones y que estamos como no podía ser de otra manera a total disposición de estos compañeros.

Debemos recordar por último que según se ha publicado recientemente en el BOCM (nº 292 de 09/12/2009), la convocatoria del concurso de la Agencia de Informática y Comunicaciones de la Comunidad de Madrid ( ICM) denominado “Servicio de soporte, administración y mantenimiento de puestos de trabajo, servidores y elementos de electrónica de red distribuidos, en el entorno sanitario de la Comunidad de Madrid", que no es más que una externalización centralizada del mantenimiento de puestos, servidores distribuidos de toda la red de la Atención Primaria, Salud Mental, Salud Pública y las Agencias Sanitarias y 18 Hospitales que afecta directamente a los compañeros que realizan actualmente estas funciones y que por tanto se encuentran con un futuro muy incierto.'

Fuente: SITNOS (Sindicato Independiente de Trabajadores NO Sanitarios) 31/12/2009


Entradas relacionadas:

Jornada de Formación "Contratos de Outsourcing IT" el 9F con Bussiness Case la Consejería de Sanidad de Madrid

El 9 de Febrero tendrá lugar en Madrid la jornada de formación "Negociación y Gestión de Contratos de Outsourcing IT", organizada por iiR España, con el lema "¡Obtenga las claves para asegurar la calidad, eficiencia y seguridad de sus procesos de outsourcing! con el siguiente programa:

1. ELECCION DEL PROVEEDOR: ELABORACION DE LA RFP - REQUEST FOR PROPOSAL -

  • Catálogo de aspectos normativos a tener en cuenta
  • Incorporación de requisitos jurídicos al pliego o solicitud de ofertas
  • Participación de las Áreas Jurídicas o de Cumplimiento normativo en el proceso de elección: aspectos claves
  • Aportación de información sobre IT a los ofertantes: non-disclosure agreements y otras garantías de naturaleza contractual

2. ELABORACION Y NEGOCIACION DEL CONTRATO

  • Negociación basada en intereses vs. negociación basada en posiciones-precio- análisis de riesgos
  • Aspectos críticos en el diseño del Contrato IT
  • La configuración de responsabilidades
  • Regulación de la Propiedad Intelectual y los aspectos sobre Protección de Datos
  • Elección del fuero y legislación aplicable en contratos de ámbito supranacional
  • Previsión de la respuesta ante cambios sustanciales en las condiciones pactadas

3. SEGUIMIENTO DEL CUMPLIMIENTO: EL ACUERDO DE NIVEL DE SERVICIO - SLA

  • Identificación de objetivos e identificación de expectativas
  • Elección de las métricas, planificación temporal e implantación
  • Diseño de los mecanismos de penalización
  • Seguimiento del SLA mediante terceros: riesgos y oportunidades

4. FINALIZACION DEL CONTRATO:

  • La resolución del contrato: factores de éxito en su invocación y controles jurídicos en el despliegue de sus efectos
  • Finalización del contrato en caso de operaciones societarias que afecten al contratante o al proveedor
  • La sucesión de proveedores: garantías jurídicas a implementar durante el proceso
  • El arbitraje como medio de resolución de conflictos


5,. ASPECTOS CRITICOS CON ENTIDAD PROPIA

  • Arrendamiento de servicios/arrendamiento de obras
  • Análisis de las necesidades a cubrir: provisión de hardware, provisión de software, mantenimiento, seguridad y confidencialidad
  • Obligaciones de las partes: responsabilidades y estándares de ejecución
  • Condiciones económicas: precios, revisiones, formas de pago
  • Cumplimiento normativo, en particular, Propiedad Intelectual y Protección de Datos
  • Consideraciones en torno a los recursos humanos afectados al proyecto

6. DESARROLLO, USO Y MANTENIMIENTO DE SOFTWARE: ASPECTOS CRITICOS

  • Cuáles deben ser los derechos y obligaciones de las partes
  • La licencia de uso: qué es lo que no se debe olvidar
  • La cuestión sobre la aportación del know-how y la titularidad del software
  • Respuestas frente a la discontinuación del desarrollo o mantenimiento del software
  • Identificación de supuestos en que debe producirse el depósito de código fuente - escrow -

7. OFFSHORING Y CLOUD COMPUTING

  • Cuáles son los "hechos diferenciales" del Offshoring y del Cloud computing desde el punto de vista contractual
  • La cuestión sobre la identificación de la legislación aplicable en el Offshoring y en el Cloud computing y los límites que conlleva
  • Qué garantías de seguridad se deben requerir a los prestadores de servicios
  • Diseño de SLAs adaptados a los diferentes escenarios que se plantean en Offshoring y Cloud computing

La jornada finalizará con un "BUSINESS CASE: CONSEJERIA DE SANIDAD CAM" a cargo de Francisco Ramón García Lombardía, Director de Programas y Proyectos Estratégicos TIC de la Dirección General de Sistemas Informacion Sanitaria del SERMAS que, según reza el programa, se trata de "una sesión especial para que de la mano de nuestro experto pueda conocer cómo llevar la teoría de la contratación a la práctica:

  • Renegociación del contrato: qué contratos interesa negociar
  • Criterios a analizar:
    • Por cumplimiento de objetivos de calidad: mantenimiento de aplicaciones, infraestructuras
  • El precio, ¿el nuevo enfoque más allá de la calidad?
  • Establecimiento de criterios para medir la productividad del outsourcer"

CCOO ha impugnado el pago de la producitividad variable por el cumplimiento de objetivos del convenio de IT en AP

'CCOO ha impugnado el pago de la productividad variable por el cumpilimiento de objetivos del convenio de Incapacidad Temporal en Atención Primaria por haberse realizado sin ningún tipo de negociación con los representantes del so trabajadores'


'Sin embargo, y a pesar de que tanto el Estatuto Marco del Personal Estatutario de los Servicios de Salud, como el Estatuto Básico del Empleado Publico, recogen el derecho a la información, participación y negociación de las Retribuciones variables del Personal Estatutario, una vez más, nos hemos visto sorprendidos ante la falta de transparencia y ante la negativa de convocar la Mesa Sectorial de Sanidad para tratar el cálculo, distribución y liquidación de las cantidades estipuladas en el Programa del Convenio de IT para incentivar a los profesionales de las diferentes Áreas'

Fuente y noticia completa: Nota informativa de la Federación de Sanidad y Sectores Sociosanitario de Madri de CCOO de 14/01/2010

El ataque de eu2010.es en otra web de la administración. [Descripción de la técnica XSS empleada]

'Mucho revuelo se ha armado con el ataque a la web de la presidencia europea de turno. Llegó incluso a estar en la portada de El Mundo (edición impresa).

Por su parte, desde la Secretaría de Estado de Comunicación reiteraron que la página no ha sido alterada por ningún intruso, ya que la imagen mostrada en el engaño ha sido cargada desde un servidor remoto y no es posible acceder a ella usando normalmente la web.

Y la verdad es que, aunque 11,9 millones por adaptar un OpenCMS y darle mantenimiento y "seguridad" es el robo del siglo, hay que admitir que el error era del propio OpenCMS (el gestor de contenidos que utilizan... que no es PHP :-P), y además un XSS, si no se utiliza para robar cookies o hijacking es prácticamente inofensivo.

No obstante, este error de principiante no es el único pecado de Telefónica (o de la cárnica que haya subcontratado para el proyecto). Santi Saez nos desvela que la web fue alojada en un servidor con un sistema operativo obsoleto (Debian 4), el panel de control Plesk accesible públicamente, el SSH accesible públicamente y permitiendo el login a root y un BIND (servidor de DNS) vulnerable. Además, el servidor de nombres no era dedicado. Ahora han intentado arreglarlo externalizando el hosting en Akamai.

Pero no nos desviemos del tema, que es explicar cómo funciona esta vulnerabilidad, y cómo explotarla en otra web de la administración que todavía no ha parcheado el OpenCMS.

Qué es XSS

Un ataque XSS o cross-site scripting es una vulnerabilidad de aplicaciones web que consiste básicamente en conseguir que en la página víctima se cargue un script de otro sitio. Como sabemos que los scripts (casi siempre JavaScript) se ejecutan en el navegador del cliente, es evidente que este ataque no va a alterar el servidor en nada.

Pero ¿cómo hacer que una página cargue un script? Para buscar vulnerabilidades XSS y cualquier otra vulnerabilidad web es esencial que encontrar puntos de entrada de datos por parte del usuario.'...


'... Imagina un formulario de búsqueda de una web cualquiera. Hay un cuadro de texto en el que tú introduces una palabra, por ejemplo, 'normativas calidad' porque quieres buscar las normativas de calidad de un organismo público. Cuando pulsas "buscar", aparece una página de resultados en el que arriba dice "se han encontrado x resultados para 'normativas calidad'". Es decir, repite lo que le has dicho. Ha puesto en la página lo que tú habías introducido en el cajetín de búsqueda.

Vale, pero ¿y si en lugar de 'normativas calidad' pones '<img src="http://bean.com/mister-bean.jpg" />'? En teoría la página debe repetir lo que has escrito. Si la web no está protegida, entonces verás una linda foto de Míster Bean en la página de resultados, ya que el navegador interpreta el HTML que has introducido y el buscador ha repetido. Acabas de inyectar HTML, pero no has manipulado el servidor. Esa foto de Míster Bean la ves tú en tu navegador y nadie más.

Si en lugar de HTML plano introduces un script (bien por invocación bien por introducción directa del código), ese script se ejecutará en el navegador, y podrás manipular los elementos de la página, hacer redirecciones... lo que quieras, pero siempre sabiendo que eso se está ocurriendo en tu servidor y sólo en tu servidor....'


'Aquí tenemos el código fuente:

<input class="txt" type="text" size="15" name="query" value=hola mundo >

Primer fallo... no poner comillas para los valores, como exige el estándar HTML. Bueno, más fácil nos lo ponen.

Si en lugar de 'hola mundo' ponemos '>hola mundo <', entonces el código generado será <input class="txt" type="text" size="15" name="query" value=>hola mundo <> Lo que acabamos de hacer es inyectar código cerrando la tag input con el símbolo '>', y el resultado será que vemos el texto box de búsqueda vacío y nuestro mensaje, 'hola mundo' a su lado. Bien, vamos a divertirnos. Si introducimos '><script>alert("Hola mundo")</script>' inyectamos HTML con un JavaScript...'

'...Ahora simplemente inyectamos una imagen (habiendo cerrado previamente la tag input con el signo '>'):


><img src="http://blog.tmcnet.com/blog/tom-keating/images/mr-bean.jpg">

'

Fuente y texto completo: Blog de Israel Viana "sobre tecnologías web y otras desviaciones" 12/01/2010

Entradas relacionadas:


Días festivos de 2010 en Sábado

A efectos de días libres adicionales de compensación para aquellos empleados públicos con horario laboral de Lunes a Vieres, de los 12 días declarados festivos en 2010 para todo el ámbito territorial de la Comunidad de Madrid "caen" en Sábado los 2 siguientes:
  • 1 de mayo
  • 25 de diciembre
Además, hay que tener en cuenta la lista de los 2 días de fiestas locales de cada municipio. En el caso del municipio de Madrid también "cae" en Sábado la fiesta local:
  • 15 de mayo

Entradas relacionadas:

¿Gestores documentales libres?

'En mi empresa necesitamos un gestor documental donde ir subiendo toda la documentación y ficheros creado a lo largo de nuestra producción. Actualmente usamos como gestor Google Docs para documentos, pero se nos queda corto en cuanto que no podemos subir ficheros de otro tipo. Tenemos referencias de Alfresco, pero buscando por Internet, dicen que también tiene grandes deficiencias. ¿Qué otras soluciones debería de tener en cuenta?''


No hay color, Alfresco es lo que necesitas

'...el enlace que pones en el artículo es de yerbabuena, que venden Nuxeo, lógico que pongan a su competencia a parir, además no es nada objetivo. Fíjate si no tendrán mucha razón que copiaron código de Alfresco sin respetar la GPL, así que no será tan malo como dicen ellos mismos. Echa un vistazo a Alfresco Community, para lo que comentas posiblemente te basta y si quieres soporte plantéate la versión Alfresco Enterprise'
...


Re: '
... en Yerbabuena no implantamos Nuxeo porque nos paguen o seamos partners, lo hacemos porque estamos seguros que es la mejor tecnología de la actualidad, si hablamos de gestión de contenidos profesionales (open&close)...'

Esa información es bastante errónea

'Alfresco tiene dos versiones la enterprise de pago y la community. La community o labs, no tiene soporte por parte de Alfresco pero la enterprise sí. La versión enterprise es más estable que la community ya que en esta última se prueban cosas que puede que no estén en la enterprise. Cosa que Alfresco explica claramente.

La documentación es mala, pero todo el proyecto Alfresco está basado en estándares java. La interfaz aunque es mala se puede cambiar totalmente, en las últimas versiones de manera mucho más sencilla.

Es totalmente adaptable a cualquier cosa, permitiendo crear nuevos tipos documentales, subir tipos de documentos (indexándolos), workflows, compartir los documentos almacenados en base de datos mediante sistema de ficheros, y un montón de cosas más.

En cuanto a que es lento arrancando, claro, no es una aplicación digamos pequeña, está pensado para gestión documental de grandes cantidades de datos. Alfresco compite en la liga de los Documentum, Livelink, Filenet, etc. Por tanto es un monstruo con muchas funcionalidades, algunas eso sí muy ocultas y mal explicada su configuración.

En un producto bastante bueno, pese a la mala documentación, y permite desarrollar aplicaciones que en otros productos son prácticamente inviables. Si lo que quieres realmente es gestión documental es una opción muy buena.'

Wikipedia
'Buscando en wikipedia existen un porrón de gestores documentales:http://en.wikipedia.org/wiki/List_of_content_management systems

Los tienen clasificados por tipos: http://en.wikipedia.org/wiki/Content_management_system

Fuente e hilo de comentarios completo: Barrapunto 21/12/2009

Un hospital, multado por archivar datos erróneos

'Las bases de datos de pacientes que están bajo la custodia de los centros sanitarios deben ser exactas y mantenerse actualizadas, de lo contrario pueden dar lugar a errores por los que el centro en cuestión podría ser sancionado. Este ha sido el caso de un hospital multado por la Agencia de Protección de Datos de la Comunidad de Madrid por mantener información inexacta de pacientes.'

'La entidad hizo un requerimiento al gerente del hospital para conocer los datos personales de la demandante que figuraban en el centro. El responsable sanitario remitió un informe notificando que en el fichero de pacientes aparecían dos usuarias con idénticos nombres y apellidos.'

Fuente y noticia completa: Diario Médico 12/01/2010