[HACK] Tercero confiable imposible ?

Leonardo Nve leonardo2 at ono.com
Wed Oct 31 00:17:47 CET 2001 

La solución puede ser tan sencilla como los tipicos "controles" web de acceso,
para estadisticas y tal. Cada vez que se acceda al CGI podría devolver
un html con una imagen (un punto o un logotipo) que
estuviera en los servidores de la empresa confiable. Cada acceso  a esa
imagen es una compra. 

La comprobación de que cumplen las reglas, seria con un no muy
complicado programa que acceda al CGI y vea que:
a) LA pagina html resultante le manda cojer la imagen correspondiente
b) La imagen que coje es exacta a los de los servidores (esta deberia
tener siempre algunos leves cambios).


Si te gusta la idea, ya quedaremos para las cervezas.

Por cierto, otra última idea que se me ha ocurrido, es que por medio de
algun procedimiento, cada vez que el CGI tenga que hacer una venta, este
tuviera que acceder a los servidores de la empresa confiable, ya sea
para cojer una key de registro o algo por el estilo. Esto habría que
estudiarlo más. 

> Muy buenas a todos...
> 
> Tengo una situación extraña a la que le he dado unas cuantas vueltas, y 
> quería comentar las posibles soluciones a ver qué os parecen:
> 
> Tenemos un cliente que va a vender un software a través de un tercero, pero 
> que quiere controlar todas las ventas que realicen de ese software a través 
> de una tercera parte confiable (nosotros). Por ello quieren que hagamos 
> algo que asegure al cliente que el tercero no le está estafando, teniendo 
> en cuenta que tendrá que ser en la máquina "enemiga", y que no podemos 
> actuar como tercero "real" (es decir, actuar como una especie de proxy 
> redireccionando peticiones).
> 
> La solución "menos mala" (pq no se me ha ocurrido ninguna buena), es 
> realizar una modificación en el CGI que realiza la operación de pago, de 
> forma que cuando se procese exitosamente una petición, se envie un correo 
> firmado con los datos de la petición (sin datos personales, solo unidades, 
> fecha y nombre del soft) a nuestra empresa.
> 
> Luego sacamos un hash de dicho CGI y les obligamos a que nos den acceso al 
> mismo para que podamos realizar la operación siempre que lo deseemos, para 
> verificar que no ha sido modificado ni en una coma.
> 
> Problemas que le veo al asunto:
> 
> - Los tipos podrían poner una regla en el cortafuegos que bloqueara el 
> envío de dicho mail digamos, de 10 a 13 de la mañana. Si no hay mail, no 
> hay constancia de la compra. El resto del día funciona perfectamente, y no 
> se percibe descenso en las ventas.
> 
> - Se podría perfectamente poner ese CGI allí, y luego mediante alias 
> emplear otro totalmente diferente, en un directorio distinto, que tuviera 
> otro código. A nosotros nos dan a comprobar el viejo, y tan contentos.
> 
> La verdad, siempre que la máquina esté en poder de los "no confiables", se 
> me ocurren pocas ideas aparte de la "inspección sorpresa", que tampoco me 
> parece muy eficaz que digamos.
> 
> Se aceptan sugerencias, críticas y ayudas varias. Se pagará en cervezas y 
> panchitos.
> 
> Yepas,
> 
> Antonio Sanz
> 
> _______________________________________________
> Lista - http://mailman.argo.es/listinfo/hacking
> FAQ - http://www.argo.es/~jcea/artic/hack-faq.htm
> "una-al-dia" para estar siempre informado - http://www.hispasec.com/

-- 
Leonardo Nve <leonardo2 at ono.com>

More information about the hacking mailing list