Error de diseño en miarroba que nos permite ver el mail de los usuarios
Bueno, resulta que soy un forero desde hace unos 5 años.
Pense que miarroba ofrecia un servicio de foros bastante majo (al principio no tenian tanta publicidad como ahora) y por eso abri alli un foro.
Años con el foro publico, de modo que solo para escribir tenias que registrate y no para leer.
Error muy grande este pues solo mirones acceden al foro y raro es el que pierde un minuto en registrarse.
Es mucho mejor directamente dejar leer los titulos de los foros pero al acceder al contenido que le diga: Registrate ¡¡¡ 
Asi conseguimos que para leer se registren, que una vez se logean para poder leer esten a un clic de poder escribir. En fin, que hemos triplicado el numero de visitas, el numero de posts, el numero de respuestas, … todo. Un exito.
A raiz de este exito añadimos en la cabecera de todas las webs del foro el codigo de statcounter para llevar un control de las visitas y poder generar estadisticas.
Dato curioso entonces cuando un nuevo usuario se registraba:
Al activar el usuario envia su dirección de correo en la url.
Datos que muchas veces contienen el nombre y apellidos de una persona.
No digo que esto sea nuevo y solo afecte a miarroba, Miles de websites realizan la activación de la cuenta de usuario asi.
Ademas no hablamos de un foro, hablamos de miles y miles de foros alojados en miarroba y muchos de ellos permiten insertar codigo html en los posts (no viene esto habilitado por defecto).
En fin que han sido reportado pero me temo que lo ignorarán puesto que son conscientes de sobra de esto.
¿Se podrian recopilar muchas direcciones de email validas sin ser admin?
La cagada de Miarroba es que es el más conocido, entonces estan todos los salames que hacen spam y todas esas pelotudeces y terminan perjudicando a otros.
Saludos
Muchas gracias por el aviso del fallo de diseño, la verdad que visto de esta forma y con un contador publico, si es verdad que se pueden recopilar los emails.
Ya lo tenemos anotado, y en proximas actualizaremos ocultaremos totalmente el email y se usara un Hash MD5 o SHA1.
LiM de miarroba.com
Gracias a ustedes.
Por cierto en los foros en los que la gente tenga habilitado la insercción de codigo html es posible insertar el codigo de statcounter (la version html del codigo) y de este modo sin ser admin, solo simples users, sabriamos las ips de los que escriban o visiten ese post.
no hace falta que sea codigo html, ya no existe ese “tal codigo html”, lo que hacemos es filtrar lo que creemos malicioso como pueden ser scripts JS, lo que si se puede hacer lo que dices es con un contador que sea del tipo , pero es algo imposible de evitar, ademas solo podrian ver eso, el trafico de ese cacho de tema donde esta el mensaje.
Yo vengo usando hace años statcounter en varios de mis sitios, y claro que se ve el email de la gente. Desde siempre. De hecho es uno de los motivos por los que lo uso.
Ya no se ve el email y … no es por statcounter que se ve, es decir, es por que miarroba los mostraba en la url sin cifrar.
Pues chico es una lástima, no sabes lo de bien que me vino eso en una célebre ocasión. En fin.