Este artículo es una colaboración de Eliecer Sanchez Ramirez. Espero que les resulte de tanta utilidad como a mi. 😉
Desde hace algún tiempo dejó de funcionar el complemento changePassword 1.1. Ahora les traigo una versión de este add-on que nos permite cambiar nuestra contraseña del dominio desde el navegador. Pero pensando en el gran número de seguidores que tienen los navegadores Google Chrome y Chromium me decidí a realizar una versión 1. para estos. Se que existen diversas opciones para cambiar la contraseña tanto en GNU/Linux como en Windows, pero este complemento está pensado para facilitarle el cambio de contraseña a los usuarios a un simple click desde el navegador. Además, al utilizar el programa smbpasswd para ello, permite que se puedan cambiar las contraseñas aunque se halla sobrepasado el límite de tiempo hábil que establece el LDAP de la UCI.
ChangePassword 1.2 para Firefox
A continuación les comento las principales novedades de changePassword 1.2 para Firefox:
- Se realizó utilizando el Add-on SDK 1.17
- Se cambia la implementación anterior que hacía uso de un servicio web para el cambio de la contraseña por el uso de dos scripts, uno escrito en PHP y otro en BASH que se encargan de realizar el cambio de contraseña haciendo uso del programa smbpasswd.
- Se mejoran las notificaciones de los errores y del cambio, aumentándose los posibles salidas:
- La nueva contraseña y su confirmación no coinciden
- Su nueva contraseña viola alguna de las políticas de seguridad que establece el dominio
- El servidor de dominio está rechazando conexiones
- No se encontró al servidor de dominio
- Otros errores posibles que pueda emitir LDAP
- No se pudo cambiar la contraseña
- Cambió con éxito su contraseña
- Se cambiaron los iconos de la aplicación, así como los de los mensajes de error y cambio exitoso
- En las opciones del add-on se añaden dos nuevas opciones que el usuario puede modificar
Source: la ruta URL del servidor que nos permitirá realizar el cambio
Domain: el domino del usuario
Para los que quieran usarlo en otro dominio fuera de la UCI deben seguir los pasos que indican en el README del comprimido que contiene los scripts que hacen posible el cambio. Los archivos index.php y changePssword.sh que se encuentra dentro del compactado deben ser copiados en los servidores y modificado por los administradores para que se pueda efectuar el cambio de contraseñas. Los métodos están bien comentados y de una forma simple se dice lo que deben hacer para brindar ese servicio.
Es importante que todo el proceso depende del LDAP y se pueden producir errores, vale recordar que:
- La nueva contraseña debe cumplir con las políticas que establece LDAP para las contraseñas (longitud, caracteres especiales, parecido con las anteriores, etc).
- El servicio de LDAP establece un tiempo de 72h antes de volver cambiar la contraseña nuevamente, es por esto que los usuarios pueden recibir un error al intentar cambiar la contraseña antes de cumplido ese tiempo después de haberla cambiado por última vez.
- Aunque cambies tu contraseña, hasta que no se actualicen las tablas en el directorio, podrás acceder a los servicios con la contraseña anterior
En el caso de la UCI el add-on está configurado por defecto para que funcione con HTTP, esto es para que pueda ser usado desde los laboratorios de docencia sin la necesidad de tener instalado el certificado de Firefoxmanía, recomendamos a los usuarios que cambian esta opción a HTPPS, luego de instalar el certificado y de esta forma sus datos viajaran cifrados a través de la red. De lo contrario puede que sean vulnerables si algún atacante utiliza un sniffer.
ChangePassword 1.0 para Google Chrome y Chromium
Está primera versión de la extensión está pensada para los usuarios de la UCI, ya estoy trabajando en una nueva versión que permitirá al usuario al igual que en la versión de Firefox configurar una URL para el servicio y un dominio. No obstante a esto se puede volver a empaquetar estableciendo nuevos valores en el código y ya se podría utilizar en otro dominio.
La extensión se probó en los navegadores Google Chrome 38.0.2125.104 y Chromium 37.0.2062.120.
Sin más espero que les sean de ayuda y en los comentarios pueden reportar los errores y recomendaciones.
Descargas
Siento el olvido de las descargas, pero esto ocurre hasta en las mejores familias. Les pido una disculpa y espero que les funcione. 😉
ChangePassword para Firefox (579 descargas) ChangePassword 1.0 para Chrome - Chromium (334 descargas) Scripts (223 descargas)
Comentarios ( 20 )
y la descarga??
Nice work people. Una solución elegante para que la gente no se queje tanto por tener que usar el smbpasswd en la consola JAJAJAJAJAJA.
Deja ver si entiendo algo(no se nada casi nada de JS+HTML+…), se le pide al usuario su password viejo y el nuevo y luego se envia una petición en texto plano a http://firefoxmania.uci.cu/common/dev_files/addons/changepassword/ con estos datos para que algo que no se ve la cambie? Díganme paranoico, pero como está la cosa aquí ultimamente, no aconsejo su uso si mi supocición es cierta.
Saludos:-S
Muy buena la aclaración pero la descarga para ver el README que mencionas para los que estamos fuera de la UCI.
@ppx
yo mejor uso estos:
http://humanos.uci.cu/2011/10/human-code-password-changer-beta-1-%C2%BFcomo-cambiar-la-contrasena-del-dominio-en-linux-sin-la-consola/
http://humanos.uci.cu/2011/10/aplicacion-para-cambiar-contrasenas-de-dominio/
la solución que se brinda esta buena, pero lo ideal sería hacer uso de algún webservice oficial que hiciera el “trabajo sucio” y no una solución de terceros que, aunque sea de confianza, no sería la mejor solución a publicar.
Es muy difícil, y hago incapié, en saber quien es de confianza.
Si leíste bien el post , existe una parte en la que aconsejo a los usuarios sobre le tema de la seguridad y el cambiar la URL hacia HTPPS:
“… Los datos se envían mediante POST por lo que se recomienda que el servidor tenga alojado los scripts bajo protocolo HTTPS para evitar robos de contraseñas y mantener la seguridad de los usuarios.En el caso de la UCI el add-on está configurado por defecto para que funcione con HTTP, esto es para que pueda ser usado desde los laboratorios de docencia sin la necesidad de tener instalado el certificado de Firefoxmanía, recomendamos a los usuarios que cambian esta opción a HTPPS, luego de instalar el certificado y de esta forma sus datos viajaran cifrados a través de la red. De lo contrario puede que sean vulnerables si algún atacante utiliza un sniffer…”
Creo que queda más que clara la explicación el por qué de usar la dirección HTTP, la causa fundamental de esto que que el el certificado de los sitios se comprueba contra myfolder.uci.cu, y la UCICA, tampoco funciona correctamente.
En cuanto a lo que dices de “enviar tus datos para que algo que no se ve la cambie” en cuanto pongan las descargas podrás ver el script que se utiliza para ello, no es un secreto de estado simple BASH.¿Además crees que los miembros de la comunidad de Firefoxmanía se atreverían a publicar un servicio para robarte tu contraseña? valla que creo que si te pasaste un poco con la paranoia.
Además te recuerdo que puedes revisar el código libremente y podrás comprobar que no existe ningún backdoor para atrapar tu user y pass.
Además te pregunto como consultas el estado de cuenta ¿a caso no envías tu user y tu pass hacia un servicio que no conoces?
Bueno y al final no es obligatorio que uses esta solución , como dije al inicio del post existen diversas formas de cambiar la contraseña tanto en Linux como en W$ y bueno y si desconfías de todas ellas te queda la de ir al nodo y cambiarla ahí con el checkbox de ver la contraseña activado y delante del especialista de guardia.
Yo utilizo hace tiempo este http://humanos.uci.cu/2011/10/aplicacion-para-cambiar-contrasenas-de-dominio/ y no he tenido problemas, jejejeje. Saludos.
Parece que no estaba equivocado entonces, el hecho es que si se da un complemento asi la gente va a empezar a utilizarlo tal y como está con http y no https, por lo que no aconsejo su uso. Por lo de la confianza, personalidades o gente en la que deberíamos confiar mucho más nos han “traicionado”, creo que desde el punto de vista legal no deberían brindar ese servicio en firefoxmanía, es más un consejo o ayuda que un regaño. Imagina que a alguien que le roben la contraseña le de por decir que utilizó ese addon, no creo que sea una buena situación para ustedes aunque no sean los culpables. Por otra parte cuando utilizamos vías “seguras” como smbpasswd o el nativo de win$ no ha habido problemas nunca. Disculpa si parece que estaba criticando su trabajo, no lo hice con mala intención, y es mejor aprovecharlo que rechazarlo.
Saludos.
Para que cargar el Chrome con otro addon mas si esto mismo lo tenemos solo con pulsar el famoso Ctrl+Alt+Del en windows ???
@eliecerSR
Primero, bien por tu trabajo, mucha gente lo va a usar y es buena la idea, estoy claro de eso.
Ahora, recuerda que no solo en la universidad hay informáticos que saben leer un bash, también hay económicos, asistentes de control, profesores graduados de física pura, matemática y hasta filosofía; y que no saben ni remotamente como pueden instalar un certificado para poner la conexión de tu complemento por https. Por tanto tienes que reconocer que si por defecto usa http ya es una violación de seguridad y de las políticas de seguridad informática establecidas en la universidad. ESO ES UNA VIOLACIÓN GRAVE DEL CÓDIGO DE SEGURIDAD INFORMÁTICA DE LA UNIVERSIDAD.
Otra cosa, el servicio web de cambio de contraseña es más seguro que tener un bash, además de ser un proveedor del servicio autorizado. En la universidad hay muchas PC compartidas por varios usuarios y esos usuarios que comparten la misma PC conocen su contraseña de root. Si quieres te puedo demostrar como un usuario accediendo a la PC puede cambiar el bash y realizar modificaciones para que sea afectado otro usuario. Otra violación de seguridad más.
Por tanto, en mi criterio personal y muy personal, no recomiendo su uso. Sean felices quienes los usen así de esa forma, yo soy feliz sin usarlo también.
comunidad esto es un addons puesto a su dispocision, por lo que estube leyendo es lo mismo usar el smbpas de linux que este addons, al final el mismo ejecuta un bash que hace el cambio de pass mediante ese programa de linux, ademas hay otros mas peligrosos como son el cuenta, ajaj no se han dado de cuenta, aja envia la contrasenna en texto plano cada cierto tiempo por la red, hasta con el mas asao de los snifer se puever ver el pass, o sino me creen instalen el Wireshark que esta en ucistore, y veran, esta solucion es para quien no tenga ganas de escribir en la consola o de batirse con las directivas de seguridad de windows que establecen como debe ser la contraseña, luego del ctrl+alt+del, saludos y me sirve esta solucion.
ahh y cambienle la hora al server que ta asao con la vieja por favor, je
@DNis, la diferencia es que Cuota está hecho o es puesto en práctica por la DRST, a ellos si les podremos pedir explicaciones si nos roban el pass.
disculpen me referia al cuentafox
@ppx tiene razon. Les aconsejo que verifiquen bien, creo que estan cometiendo una violacion de la seguridad. Estan hablando mucho de http/s pero ustedes son un Man In The Middle con todas las de la ley. Que me des un bash para leer garantiza que es el ejecutado?
Se pueden meter en un gran lio.
@Jose Jorge Lorenzo Vila
jaj y seguro viste el codigo del cuentaFox, sabes si me manda tu pass a mi, jaj
@Dnis
menos mal que no los uso
@LuiXogeno
@Jose Jorge Lorenzo Vila
1-Teniendo en cuenta sus recomendaciones , he configurado por defecto una nueva versión que utiliza el protocolo HTTPS por defecto.
2- Existe algún servicio web que permita el campo de contraseña y que funcione, hasta ahora sabía de la existencia de este :
https://axis2.uci.cu:8443/services/listServices
El mismo primero se restringió su uso a determinados IP, y después(hace casi un año) dejó de funcionar.
La DRST no ha publicado ningún anuncio de que exista un servicio que permita esta funcionalidad y en su sitio , ni en le de SI funciona la opción.
3- No me queda clara la parte en que me dicen que cualquiera conociendo la contraseña de root pued acceder al script y cambiarlo.Porque:
a) el scipt se encuentra en un servidor del nodo, acceso al mismo solo tiene el webmaster(desde una dirección IP única) y el personal del nodo. Por lo que en caso de ocurrir alguna situación el grupo de personas a investigar se reduciría significativamente. ¿Además para que existen los logs de acceso?
b) además es tan fácil entrar a los servidores de la universidad, no me parece, y bueno en el peor de los casos el culpable siempre dejará algún rastro. Ningún crimen es tan perfecto como se cree.
Consejo personal, retira el servicio antes de que la gente de redes se entere, hasta que encuentres un servicio que se dedique a esto. Utilizar el servidor y la web de firefoxmania como pasarela para este servicio es una violación grave.