El problema afecta sobre todo a los usuarios que disponen de sitios web y acceden a ellos para modificar algún documento utilizando Explorer como cliente de FTP.
Sorprendentemente, tras editar un fichero HTML y guardarlo de nuevo, Explorer incluye, como comentario en el código fuente de la página, el nombre de usuario y contraseña de acceso al servidor FTP. En resumen: cualquiera que se descargue esa página en lo sucesivo dispone de las credenciales necesarias para modificar el sitio web o hacerlo desaparecer...
¿Conoce Microsoft la existencia del problema? Sí, y al menos desde 2004. Para Microsoft, la capacidad de cliente ftp se incluye en Explorer sólo "por comodidad", pero no se trata de un auténtico cliente de ftp. Por otro lado modificar este comportamiento requeriría -decía Microsoft en 2004- una "rearquitectura" de la característica.
Ante estas declaraciones, cualquiera podría pensar que Explorer 7 hubiera podido ser la ocasión más indicada para reparar el bug. Pues no: Explorer 7 se comporta exactamente igual.
Por tanto los webmasters que utilicen Explorer para manejar sus páginas web son los principales afectados. En caso de duda, sería recomendable que realizaran una búsqueda en el código fuente de sus páginas de expresiones del tipo de la siguiente:
<!-- saved from url=(0042)ftp://name:password@xxx/xxx.html -->
Se trata de la línea de comentario añadida por Explorer que puede resultar nefasta para la seguridad del sitio, puesto que incluye la contraseña y nombre del usuario que accede al sitio por ftp. Un cambio inmediato de esos datos de acceso también podría estar indicado, antes de que una búsqueda en Google proporcione a un eventual atacante la llave de su sitio.
FUENTES:
- Internet Explorer and Your Web Site's Privacy [Security Fix].
- Microsoft Internet Explorer FTP Credentials Exposure [Secunia].
- Internet Explorer discloses FTP access credentials [Heise].
Son las cosas del Billypuertas
anónimo19 Agosto 2007 - 12:46pm
La verdad es que viendo la cantidad de agujeros que tienen los productos Microsoft, como todavía nos quedan ganas de usar sus productos. Hoy es eso y mañana será otra cosa, que le vamos a hacer.
Tranquilos, que no es pa tanto...
anónimo17 Agosto 2007 - 11:10am
Al leer el titular me llevé doble susto: como usuario y como diseñador.
Como esto último, quisiera quitarle hierro a la noticia (de la cual ya se han hecho eco infinidad de blogs y ninguno analizando la
La secuencia de eventos que muestran esta vulnerabilidad (la cual existe y nadie la niega) es un poco absurda desde el punto de vista de cualquier diseñador, webmaster o incluso usuarios inexpertos (¿cuántos inexpertos se pondrían a actualizar un sitio web por FTP a través del navegador?)
Cualquier diseñador/webmaster sabe que el proceso normal - en caso de actualizar algún archivo por este medio, lo cual también es excepcional (hago la web con Dreamweaver pero subo los archivos con el Explorer... vamos anda...) - es copiar el archivo (no guardarlo cuando lo estamos viendo) al disco duro, editarlo, guardar los cambios en local y pegarlo/subirlo al servidor nuevamente.
Quiero recalcar -ya que todo el mundo está diciendo eso y a mí también me lo hizo pensar al leer el titular - que no se inserta ningún código por el hecho de copiar, mover, renombrar, pegar archivos en conexión FTP a través del navegador, sólo ocurre cuando abrimos esa página y le damos a la opción Archivo-Guardar como...
No entendí
anónimo18 Agosto 2007 - 8:16am
No entendí tu comentario, podrías redactarlo de otra manera ? No tengo como probarlo acá, no tengo nada con windows....
Gracias
Solo si lo Editas con el Explorer te Afecta
anónimo18 Agosto 2007 - 11:13pm
Lo que quisieron decir es que solo si editas el archivo y lo guardas con dicho navegador se da el "Fallo" (Que descaro) eso significa que no pasa nada si tienes el archivo guardado en tu disco local y lo subes via FTP por el Explorer (Solo que como de costumbre lo que te puede pasar es que se te pegue el navegador y consigas un par de virus nuevos para la coleccion... entre otras cosas que pueden pasar por cierto no muy buenas.)
Quiero añadir otra cosa...
anónimo16 Agosto 2007 - 4:26am
Esto no afecta cuando por ejemplo se "Descargan" algo por ftp por ejemplo una distro de linux o algo por el estilo, el cual comienzan por el protocolo "ftp://"?
un saludo
No
admin16 Agosto 2007 - 10:02am
Es un fallo de la aplicación IE, no del protocolo.
Yo utilizo un cliente ftp pero no de IE
anónimo16 Agosto 2007 - 4:19am
Hola, yo utilizo un cliente ftp pero no del Internet Explorer, esto creo que no me afecta cierto?
¿Rearquitectura?
anónimo15 Agosto 2007 - 5:04pm
¿Evitar que se añada un comentario requiere una rearquitectura de la característica? Me debo de estar quedando atrás en programación.
Necesito un diccionario
anónimo15 Agosto 2007 - 1:25am
¿Cómo es la mezcla entre "OMG" y "WTF"?
Response
anónimo15 Agosto 2007 - 3:29pm
Maybe "OMFG"
Sinvergonzones ;)
admin14 Agosto 2007 - 10:58pm
No me sigáis enviando la cadena de búsqueda para Google, que no la voy a publicar... pero no voy a poder evitar que la publiquen en otros sitios, así que pobres víctimas...
Pues sí, pobres víctimas
anónimo15 Agosto 2007 - 12:05pm
Después de leer la noticia me puse a jugar con el google. Resultado: pude entrar en un par de servidores. Así, tal cual. Y no tuve que esperar mucho, el primer resultado del google ya me sirvió. Y la verdad es que en temas de seguridad soy un auténtico novato. Así que si ha sido tan fácil para mí, cómo será para los "expertos". Ah! Tranquilo, que en cuanto entré hice un dir y me fui. Pero, ¿qué me hubiese impedido borrar el servidor y quedarme tan pancho? ¿eh?
hackeos
anónimo16 Agosto 2007 - 2:37pm
Y después, los "superhackers" toquetean una página, y creen que formateando y volviendo a instalar el servidor pero con la versión más nueva que haya solucionan los problemas de seguridad.
A ver si lo acierto...
admin15 Agosto 2007 - 12:09pm
Nada? ;-)
ole ole y ole
anónimo14 Agosto 2007 - 8:15pm
es hoy el dia de los inocentes??? no puede ser, es imposible, como se puede tener semejante agujero de seguridad y encima desde el 2004, estamos tontos o que?
Pues me parece a mi que va a ser verdad lo que comenta hostelero, mejor adentrarse en el mundo de lo desconocido para estar más seguro porque aqui no se salva ni el tato
Como siempre
hostelero14 Agosto 2007 - 7:36pm
Como siempre he llegado a la conclusion de que ni Explorer, ni firefox,n i opera, sino el mas desconocido de todos, ese que no vale la pena destripar pq "nadie lo usa".
"Los bancos tienen muchos numeros en el ordenador, pero poca pasta"