Ruta Libre

Ir al contenido | Ir al menú | Ir a Buscar

jueves 31 Marzo 2011

Sistema de Pago en Línea

Hoy al entrar a la portal web de UNAPEC veo el anuncio de la "Plataforma de Pago".

La URL para acceder a la plataforma de pagos es: Pagos en Línea

Varios puntos a considerar respecto a la seguridad:

  1. No usa un CAPTCHA.
  2. Vulnerabilidad con la clave de acceso debido a que el EVA no usa SSL/TLS por defecto.

Esta es la pantalla de acceso al sistema:

En este comentario de la entrada El EVA debe usar SSL expliqué que no se hace nada con instalar el certificado si el VirtualHost no se redirecciona automáticamente con SSL.

Ahora con el Sistema de Pago es más crítica la situación. Debido a que no solo se juega con la clave de acceso de los portales Estudiantil y UNAPEC Virtual, sino que con las transacciones bancarias de los estudiantes.

jueves 13 Enero 2011

El EVA debe usar SSL

El Entorno Virtual de Aprendizaje de la Universidad APEC debe usar un certificado SSL. Al menos para el proceso de registro cuando introducimos nuestro usuario y contraseña.

La contraseña, un dato confidencial, es transferida en texto plano a traves de la red.

Para comprobar esto observe la siguiente imagen. Utilizando un analizador de protocolos podemos encontrar nuestra clave en las cabeceras del protocolo HTTP. En la parte inferior de la imagen estan los parámetros username (matrícula) y password que por seguridad están tachados.

Clave EVA

Aunque puede que para muchos esto no sea algo nuevo, pero sí es importante para la comunidad académica. No solo nuestra clave viaja por las redes, sino también los mensajes privados que intercambiamos entre estudiante-profesor.

Esta plataforma es privada para los estudiantes de la universidad y como tal debe operar. Debe ofrecer privacidad.

martes 28 Diciembre 2010

Universidad APEC lanza Live@edu

Unapec anunció el 22 de noviembre la firma de un acuerdo con Microsoft para lanzar la plataforma Live@edu.

Cito la fuente, es un servicio gratuito que le permitirá a esta universidad ofrecerle a sus estudiantes servicios de correo electrónico, mensajería instantánea, calendarios, alertas, entre otros, de forma institucional.

Esto es una muestra de la incapacidad de la universidad para proveer este servicio a la comunidad académica.

Antes teníamos la interfaz Squirremail y luego se cambió a RoundCube, quedando ésta útima como la interfaz actual para acceder al correo viejo. Este servicio de correo web está alojado fuera del país en la direccíon 63.209.154.43 y no tiene seguridad/privacidad SSL/TLS.

El nuevo servicio Live@edu está alojado en la infraestructura de Microsoft. Los mensajes @unapec.edu.do ahora son encaminados por la red de Microsoft en el estado de Washington antes que la misma universidad.

Configuración del registro MX de UNAPEC.EDU.DO:
unapec.edu.do. 3600 IN MX 0 900435273.mail.outlook.com.

Que a su vez se descompone en:
900435273.mail.outlook.com. 300 IN A 65.54.188.78
900435273.mail.outlook.com. 300 IN A 65.54.188.109

Configuración del registro SOA a este momento:
unapec.edu.do. 172800 IN SOA ns1.unapec.edu.do. aantigua.adm.unapec.edu.do. 2010120803 1500 600 604800 86400

La única verdadera novedad es que ahora se puede usar un cliente de correo electrónico sin necesidad de acceder a la web para ver y enviar mensajes. Esto mediante los servicios POP, IMAP y SMTP que provee la plataforma. Antes solo se podía acceder vía web.

Estos son los datos de configuración que muestra luego de haber iniciado sesión:

Configuración de POP externo:

    Nombre del servidor:   pod51008.outlook.com
    Puerto:     995
    Método de cifrado:  SSL

Configuración de IMAP externo:

    Nombre del servidor:   pod51008.outlook.com
    Puerto:     993
    Método de cifrado:  SSL

Configuración de SMTP externo:

    Nombre del servidor:   pod51008.outlook.com
    Puerto:     587
    Método de cifrado:  TLS

Este tipo de servicio debe estar bajo el control administrativo de la Universidad APEC, no bajo el control de terceros.

En cuanto al software utilizado para el nuevo servicio, ahora funciona con el software privativo Microsoft Exchange Server.

Antes funcionaba con software libre usando como interfaz web Squirremail y luego RoundCube y como Agente de Transferencia de Correo a Postfix.

La utilización de software privativo para proveer servicio de correo electrónico a la comunidad académica significa un retroseso para Unapec en el ámbito de software.

Ahora usamos un servicio de correo electrónico gratis prestado por la multinacional de software. ¿Cuál es el costo real de este servicio gratuito?