Estas aquiContenido / Detectando tu login con Firefox

Detectando tu login con Firefox

Poradmin- Publicado el14 Diciembre 2006

Si un sitio malicioso quiere explotar un ataque de tipo CSS o CSRF, puede resultarle de mucha ayuda saber si la víctima tiene en ese momento una sesión abierta en -digamos- Google, Hotmail, Yahoo, Blogger o Flickr, por poner algunos ejemplos.

Pues bien; Jeremiah Grossman ha encontrado una forma de detectar si estás logueado en alguno de esos sitios, sin más que analizar los errores devueltos por Javascript...

Actualizado (20:25): Comprobado también en Linux (Firefox 1.5.0.8) con Yahoo Mail:

Según Grossman, el sistema funciona con Firefox 1.5-2.0 y Javascript activado sobre Windows XP o Mac OS X.

Está disponible una demostración (bastante poco fiable, porque no funciona bien con Gmail, Google...) que trata de comprobar la vulnerabilidad sobre sitios conocidos (parece funcionar mejor con las cuentas de Yahoo, por ejemplo), pero no sería difícil modificar el código añadiendo "firmas" para detectar el login específico de cualquier otra página o servicio.

Etiquetas

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
Pues no
Enviado por Deimdos el 14. Diciembre 2006 - 20:59.

He probado con mi cuenta de Google tanto en el buscador como en Gmail (abiertas en pestañas) y el resultado ha sido un "Not Logged-in" en ambas.

PD: con FF2.0 y winxpsp2

Sólo con flickr.
Enviado por NeoCalderon el 14. Diciembre 2006 - 21:18.

Inicie sesión en Yahoo! mail, en Gmail y en Flickr.

En el único que funciono fue en Flickr, aquí una captura:

http://static.flickr.com/131/322398776_897b3619af_o.png

Mi navegador es IceWeasel versión 2.0+dfsg-1.

"A posse ad esse"

Gmail no lo detecta bien
Enviado por raposo el 14. Diciembre 2006 - 22:49.

A mi me pasa como el amigo Deimdos, en Gmail pone Not Logged-in cuando realmente estoy "logeao". Un saludo.

"Meigas, habelas hailas"

No es mi caso...
Enviado por k3 el 14. Diciembre 2006 - 23:16.

Usando Ubuntu Dapper 6.06 LTS, y Firefox 1.5.0.8 ... todos me dan not-logged in :S

A mi como a todos...
Enviado por iep el 15. Diciembre 2006 - 0:35.

A mi como a todos... gmail no lo detecta ni patras

A veces el sentido comun
Enviado por Photon el 15. Diciembre 2006 - 11:23.

A veces el sentido comun vence a bugzilla. Yo por costumbre ,cuando hay pasos incomodos  cierro ventanas y reinicio FF.

Test
Enviado por Arktun el 15. Diciembre 2006 - 12:08.

Probándolo Gmail,hotmail y Flickr, me detecta este último.

Igual, not logged in en
Enviado por Voyager el 15. Diciembre 2006 - 13:37.

Igual, not logged in en todos los sitios que uso

Publicidad

Patrocinadores

Kriptópolis alojado en
Zilos-Veloxia Network
Tu mejor defensa:
Bufet Almeida

Publicidad