Vía linuxman me encuentro con esta tremenda falla en la seguridad del sistema de banca en linea de Bancomer. Si hay un lugar donde no me gustaría saber de fallas de seguridad es en mi banco, afortunadamente no tengo cuenta ahí.

Esto es lo que Bancomer está promoviendo en la página principal de su sitio web:

Interesante que utilicen “nueva tecnología” que seguramente les costó millones para que navegues más seguro. Pero de que demonios me sirve si comenten errores tan básicos como pasar el número de la tarjeta de crédito por GET!!!

Lo primero que aprendes cuando empiezas a desarrollar aplicaciones para web es que en términos de seguridad POST es mayor a GET, les explico un poco.

Cuando envías un formulario hay 2 métodos para pasar la información: GET y POST, las variables que envías usando GET se pueden ver en la dirección como sucede en el caso de bancomer, lo cual obviamente deja a la vista los datos. Las que pasas por POST son invisibles por decirlo de alguna manera, ademas de que tienes el plus de que las aplicaciones no suelen recibir datos por POST que no vengan de un formulario localizado en el mismo sitio, gracias a esto, falsificar la información se vuelve más complicado.

Aún peor, las direcciones se quedan guardadas en el historial por lo que un usuario que llegue despues que tú puede ver el número de la tarjeta que ingresaste sin ningún problema. Por si esto no fuera suficiente la información no es enviada por una conexión segura, al menos no de inicio.

Si bien es cierto que hay más pasos de seguridad en el sistema de bancomer no hay justificación para dejar los números de la tarjeta a la vista de todo mundo.