jueves, febrero 26, 2009

Como colocr un mosquetón sobre un parabolt

Posteo a continuación una ilustración superclara y supercurrada sobre la forma correcta de chapar un parabolt. Está sacado de este hilo de VC.



Una operación tan sencilla la de cosas que puede esconder...
Cintas largas y mas flexibles minimizan el problema.

El dibujo está hecho con un mosquetón simetrico, pero es que ademas los mosquetones D asientan mejor de un lado que de otro. Asi sin probarlo me da la intuición que es el lado bueno...
Para liar mas la cosas tenemos que tener en cuenta que cuando vamos en diagonal la cuerda no debe salir por el lado del gatillo.


En la ilustración anterior, la cuerda sale por el mosquetón inferior correctamente.
Total... que es un cristo. Porque no vas a llevar unas cintas con los mosquetones mirando hacia un lado y otras con los mosquetones mirando a lados opuestos...
¿La solución? Dificil.

miércoles, febrero 25, 2009

Novedades editoriales

Voy a intentar romper la pereza que tengo de escribir...
Para comentar varias novedades editoriales.
Por parte de desnivel hay un par de guías nuevas: Mallorca e Ibiza. De la primera ya existía una de rockfax. La de Ibiza es pequeñita (128 págs.), pero la de Mallorca es un buen ladrillo (336 págs).
Por parte de onaclimb hay una nueva guía de Montsant [vía K].

viernes, febrero 13, 2009

Le toca el turno a desnivel

La última crítica fue para 8a.nu. Ahora le toca el turno a desnivel.
¿Pues no van los tios y en los feeds de NOTICIAS, te menten publicidad de material?

Aprovecho para daros dos ideas relacionadas con la revista digital:
  • que en las revistas digitales os lo monteis para que no sólo te puedas descargar tres copias. Es demasiado restrictivo. Yo tengo 3 ordenadores (curro, casa y portatil). En el momento en que formatee uno ¿que pasa? Si la descarga va asociada a un usuario concreto, creo yo que se pueden evitar los abusos sin ser tan restrictivos.
  • en cuanto a las revistas digitales. Estaría genial que digitalizaseis los volúmenes antiguos de desnivel. Y a la gente que tenga las revistas en papel, darles la opción de poder acceder al volumen digital. Eso si que sería un gesto cojonudisimo.

Sacafisureros

Un artículo en el blog de fende sobre sacafisureros.

Copiar guías locales -carta abierta-

Publican en 8a.nu una carta, sobre el plagio realizado por los autores de la guía Pyrenees Rock.
Luichy ya había comentado sobre ello.

domingo, febrero 08, 2009

Sobre los saltos de Dan Osman

Hoy en la conversación de vuelta a casa salió el tema del Dan Osman, y que llevaba un grillo en el arnes. ¿Para que?

Podeis verlo por ejemplo en este video.
Pues, bien... según Isildur, que me parece una respuesta muy correcta, para evitar que lo que pare el golpe sea el nudo que une la cuerda al arnés.
Lo que aguanta la caida es el grillo. Si peta todavía queda el nudo.
Imaginaros desacer el nudo ante una caida de esas características...

Nota: Es una suposición.

jueves, febrero 05, 2009

La seguridad de 8a.nu

Con este post voy a desvelar un par de 'fallos' en 8a.nu.

Como ya comenté en unos posts atras, hice un servicio, para poder exportar las ascensiones de 8a.nu a formatos mas manejables (txt, xml, cvs), partiendo del html.

El guardar el html, es un poco engorroso, ya que la página una frames (lo cual ya indica un fallo de diseño -- los frames ya no los usa casi nadie ).

Pues en esas estaba, en poder extraer las ascensiones, mediante el usuario y la password.. De esta forma se evitaría el engorro de general el html...
Soy consciente de que posiblemente el único que use esta opción sea yo, y si acaso algún amiguete, porque eso de entregar un usuario/password asi como asi.... Aunque también tenía mis intereses técnicos (que ando con poco curro...).

Pues bien, tras tener el código para logarme no me funcionaba. Solución: snifar un poco.
¿Y cual es la sorpresa que me llevo? Que en lugar de una petición POST como pensaba que se estaba enviando (con una serie de campos ocultos y tal...), se envía una petición GET tal que:

http://www.8a.nu/login/UserLogin.aspx?email=tucorreo@mixmail.com&password=XXXX

¡¡¡Así tal cual!!! Sin ni siquiera un encriptado con javascript ni ná. Total, para que...

Comentandoselo a JJ, para confirmar el fallo, me dice que hace tiempo les notificó otro fallo, del cual hicieron caso omiso. Cito a JJ:

"Te comento los fallos que veo que tiene ahora la página de 8a.nu para que completes la información de tu post:

- Sección Routes->Search & Add, Boulders->Search & Add: Se puede provocar un DOS de una forma bastante fácil, y ahora que sabemos como funciona la autenticación aún resulta más sencillo, marcas todos los grados, y en lugar de meter un identificador de Crag, colocas un comodín SQL para búsquedas de texto %,y con unas cuantas peticiones de este tamaño seguro que tiras el sitio por denegación de servicio, pues la consulta puede ser de un consumo considerable, vamos que con un bot un poco currado creo que sería posible tirar el sitio. Es se soluciona con unas validaciones cliente sencillas que no les costaría nada introducir.

- Sección Pics, Profile, Blog->Training Log: No se pueden utilizar comillas simples en el campo de comentarios de las entradas del formulario, pues no se escapean y falla la inserción en la base de datos, por si esto fuese poco, se muestra la consulta, que da datos muy interesantes como el id interno con el que se te identifica en la base de datos... vamos es una puerta para la obtención de otros datos.

y no he probado mucho más, la verdad es que esto estaba bien para cuando era un sitio de 4 amigos, pero a estas alturas deberían de ponerse un poco las pilas.
"


Lo de la autentificación es bastante dificil de explotar (que no imposible), pero vamos... es un poco cutre enviar asi como así por la red el usuario/password.
Lo que comenta JJ es mas serio.
JJ, ya en su momento se lo comentó, pero no hicieron ni caso. Ahora es de dominio publico.
No puede ser que el sitio con posiblemente la mayor BD de escaladores del mundo tenga estos fallos...
Supongo que al menos harán backups periodicamente...

lunes, febrero 02, 2009