Estube escuchando en todos los medios informativos que visitaba el “OkeyKO”…
Vamos con una cita de okeyko.com
Okeyko, una nueva forma de enviar y recibir mensajes en tu móvil. Disminuye tu consumo de mensajes un 99% y enviá mensajes a todo el mundo al mismo coste, solo tienes que tener instalado Okeyko en los móviles
En muchos foros lo criticaban, mientras que los diarios y los noticieros lo alababan. Entonces le mando manos al tema aunque sea un ignorante total en Java.
Comenzamos probando con Wirelles Toolkit de Java que es un muy buen emulador y entramos y nos logueamos, justo en ese momento el emulador nos da una advertencia que va a hacer una conexion detallando a donde.
Lo interesante aqui que ya se ven varios detalles es que OkeyKo para abaratar costos no utiliza los sistemas de SMS sino que utiliza el utilizadisimo HTTP (o sea datos por internet) y se loguea por get (u=usuario y p=password). Y ahora, porque en vez de decir “vaati” dice “X2Z55X0W4″? Simple, el motivo esta en el codigo:
obj=”http://www.okeyko.com/okys/oky.php?accion=login&u=”+Codificar2(getUserName().getString())+”&p=”+Codificar2(getPassword().getString());
Se ve que llama a una funcion “Codificar2″ (que no la voy a citar por lo enorme que es). Claro, la codificacion es estatica o sea nunca va a cambiar y eso no suena muy agradable aunque no exista snifing en celulares…
Ahora veamos por Web. Nos logueamos con una desagradable sorpresa de posibilidad de bruteforce. Y una vez logueados vemos las cookies.
Oh que interesante! la cookie “ok_usuario” dice “%40vaati”, que pasaria si pongo “%40luis”?… Y encuentro el FAIL mas grande que vi desde que estoy en el tema de la informatica.
Puedo ver los datos y los mensajes (tambien puedo enviar) de Luis!!!! Pero con un defecto que a la derecha dice Vaati que aun nose porque…
Como conclusion puedo decir que Okeyko no es gran cosa como dicen los medios y tiene una desagradable falla con las Cookies. Simplemente NO RECOMENDABLE
Eso pasa cuando uno no sabe usar correctamente la programación web !
En cuanto a seguridad, es EXTREMADAMENTE recomendable reemplazar las cookies por las sesiones.. Puntualmente, si sos novato, esto te salva de cometer grandes errores como este..
En caso de no serlo, uno se puede arriesgar a darle un buen uso a las cookies, pero siempre recordando el principal punto de estas, pueden ser vistas y modificadas por el usuario !
nose porque decirles fail, no veo el punto eso ya esta solucionado…hace unos dias reporte esto mismo que me parece mejor ke kriticar..
ayudar es mucho mejor..
un saludo
Si tenes mucha razon!
Me olvide completamente de informarles del fallo! Gracias por informarlo.
y si asi colaboras con los pibes…no te olvides que de los errores se aprende D:
Hooo.. gran falla… es uanhuevada papa… primeo con las variables de la aplicaicon mvil no se puede hacer nada… y lod e la web.. nada del otro mundo.. aparte ya lo reportaron ahce rato..