Get it on Google Play
Tu partner Freelance para tus proyectos IT

Un fallo de ‘seguridad’ deja al descubierto los contenidos del ‘help center’ de Liferay

18-05-2020

Debido a un fallo de ‘seguridad'(Lo de seguridad lo pongo entre comillas por algo que voy a comentar al final del post) en el portal “help center” de liferay sus contenidos son accesibles por todo el mundo.

El portal ‘help center’ de Liferay es un portal donde hay gran cantidad de artículos sobre el portal, la mayoría están disponibles solo para sus clientes con ‘subscripción’ pero debido a un fallo de implementación cualquiera puede acceder a ellos.

Este es un artículo cualquiera en este portal donde se vé como la solución a la incidencia está solo disponible para usuarios con ‘subscripción’:

Liferay help center security issue 1

Liferay help center security issue 1

Pero solo tenemos que hacer click con el botón derecho(Atención! no inspeccionar elemento) , “ver código fuente” y buscar en el código “Resolution” para encontrar la solución(sin estar logueados ni nada):

Liferay help center security issue 2

Liferay help center security issue 2

Total que TODO el contenido es accesible para TODO el mundo. Parece ser que el contenido completo se publica y luego se elimina por Javascript si el usuario no está logueado. Es raro porque Liferay ofrece herramientas de sobra para cubrir esta funcionalidad. Supongo que no se tardará mucho en subsanar el problema(O no).

Antes he puesto entre comillas la palabra ‘seguridad’ porque a algun lumbreras se le puede haber ocurrido la idea de publicar todo el contenido para que lo indexase Google y luego simplemente ocultarlo a los usuarios sin tener suscripción. Esta es una práctica prohibida por Google ya que si es información no accesible públicamente tampoco deberías usar ‘artimañas’ para que el bot de Google la indexase. Es solo una aclaración, sin saber si este es el motivo real.

Aclaraciones

El autor no debería justificarse por los artículos escritos en este blog. Pero debido a que en el último artículo sobre Liferay, un grupo de gente vinculada a la empresa se molestó(supuestamente) e intentó públicamente desacreditar al autor se debe aclarar:

  • Que en este blog personal se publican artículos técnicos y vivencias del autor y que no se va a permitir que se intente coaccionar al autor intentando desacreditar o acciones similares(Por muchos mas que seáis y mucho poder que tenga Liferay)
  • Que se han hecho artículos sobre muchas tecnologías similares en este blog y nunca se ha intentado, por parte de nadie, tomar represalias contra el autor. Es algo sobre lo que tendríais que reflexionar.
  • Que cuando Liferay no tenía recursos para hacer difusión, formación y dar soluciones sobre su tecnología habia muy buen rollo. Ahora, se están tomando algunas medidas para erradicar a ciertos players bastante fuera de lugar(Aunque moleste a partners o ciertos objetivos de crecimiento).
  • Todos los artículos de este blog son fruto del trabajo de investigación y experiencia de trabajo del autor en el sector de la informática corporativa.
Si te ha servido, por favor comparte

Interesado en formación Liferay?

 

Leave a Reply