martes, 22 de noviembre de 2011

Google: Indexación de LDAP

El otro día haciendo algunas pruebas pensé que quizás existía la posibilidad de que Google también indexara servidores de LDAP. No los servidores en sí, si no los resultados de sus LDAP.
Hay veces en que los administradores utilizan clientes de LDAP hacen una búsqueda para extraer algunos datos y sin darse cuenta lo cuelgan en alguna carpeta compartida para que su Jefe tenga acceso y lo pueda ver, sin darse cuenta de que precisamente esta carpeta está publica a todo internet. Así es amigos... triste pero cierto.
Pues lo comprobé, me instalé un cliente LDAP para ver en que formato podían exportarse los resultados.


Y tal cual hice una búsqueda en google con el tipo de archivo LDIF, que es uno de los formatos en los que se pueden exportar. 


Uno de los primeros resultados que me dio fue un archivo de estos con el todos los datos del Administrador, nombre, password, directorio de ubicación, etc.
Bueno, no lo he comentado antes pero el LDAP guarda todas las credenciales de todos los sistemas (aplicativos). Credenciales, políticas de seguridad, etc, etc. Es un sistema centralizado. 
Obteniendo esto, obtendremos prácticamente acceso al servidor.


Es muy importante que los administradores tengan este tipo de cosas en cuenta. Podrían capar la indexación de Google a todos los directorios de la web o simplemente no publicar dicho archivo en internet. 
Es muy posible que no se muestre la password, pero si quisieramos hacer Spam, sólo nos bastaría con ser un poco creativos y hacer una búsqueda del tipo:


Fijaros bien con el "inurl:contact" podemos obtener una gran cantidad de mails sacados del LDAP...



miércoles, 2 de noviembre de 2011

Interface gráfica de SIRI en iPhone 4


Ya ha conseguido portar SIRI de un iPhone 4S al restod e dispositivos. Sin embargo solo han publicado la interface de SIRI, por lo que no podemos disfrutar al 100% de SIRI. sólo vamso a poder ver su aspecto. Esto es devido a que para que SIRI funcione al completo en un iPhone 4 (p.e.) requiere la conexión a los servidores de Apple y para ello necesitan modificar algunos archivos y por tanto sería ilegal.

A mi no me estraña nada que en muy poco tiempo salga la versión completa poder instyalarlo en todos los dispositivos. Claro que no creo que sea una tarea fácil. Puesto que por lo que he podido ver, lo uqe se necesita es una especie de Certificado para que SIRI enga conexión con Apple, además de que extrar el dichoso SIRI del iPhone 4S  e importarlo en otro... será cuestión ed modificar código, del cual estoy seguro que no es llegar y copy&paste tal y como se hace con la GUI.