GreatTweet

When the 140 characters of Twitter are not enough.

sign in twitter
@satiromarra
On Tuesday 13th March 2012, satiromarra said:

Me hubiera encantado poner como título a esta entrada "Tu contraseña de Dropbox, guardada en texto claro", que sería carne de cañón, cuando realmente la contraseña a la que me refiero, no es la propia del servicio de Dropbox.

Esta aplicación que dispone de cliente para dispositivos IOS (esto de que haya #iPad, #iPhone y AppleTV y no pueda usar un único termino es realmente molesto), permite especificar un PIN de cuatro números antes de mostrar el contenido de la "carpeta en la nube".

Otra característica interesante de esta protección es que también posibilita la opción de eliminar los archivos si este código secreto se escribe erróneamente 10 veces seguidas. Evitando la posibilidad de que alguien trate de automatizar el proceso y hacer un ataque de fuerza bruta que recorra del 0000 al 9999. Por cierto, si la habilitáis, no uséis un código del 0000 al 0009 o ¡¡la encontrarán antes de que se borren!! :\-)

Lo curioso es que una empresa como Dropbox, que ya tiene una masa muy importante de usuarios y consideran un factor crítico la seguridad, cometa un error de novato y guarde este PIN en texto claro, sin cifrado de ningún tipo en un archivo plist.

La peor parte es que esto debería sorprender, pero es tan común en casi todas las aplicaciones que ya parece hasta normal.

Os podéis plantear una duda: si para acceder a ese fichero hace falta que el teléfono tenga jailbreak, ¿qué más da? ya que también podría acceder al "fichero de sesión" de la aplicación y por lo tanto utilizar otro terminal accediendo sin contraseña.

Me alegra que me hagáis esta pregunta, incluso que me la haga yo mismo, que así puedo responderla.

Importa, ya que la seguridad se basa en capas y nada tiene que ver que un control de seguridad pueda ser evadido de varias formas para no tapar el mayor número posible de ellas.

Vía: securitybydefault.com/2012/03/tu-contrasena-en-un-archivo-en-texto.htm...m