Estas aquiContenido / Explorer revela datos de acceso a servidores FTP
Explorer revela datos de acceso a servidores FTP
El problema afecta sobre todo a los usuarios que disponen de sitios web y acceden a ellos para modificar algún documento utilizando Explorer como cliente de FTP.
Sorprendentemente, tras editar un fichero HTML y guardarlo de nuevo, Explorer incluye, como comentario en el código fuente de la página, el nombre de usuario y contraseña de acceso al servidor FTP. En resumen: cualquiera que se descargue esa página en lo sucesivo dispone de las credenciales necesarias para modificar el sitio web o hacerlo desaparecer...
¿Conoce Microsoft la existencia del problema? Sí, y al menos desde 2004. Para Microsoft, la capacidad de cliente ftp se incluye en Explorer sólo "por comodidad", pero no se trata de un auténtico cliente de ftp. Por otro lado modificar este comportamiento requeriría -decía Microsoft en 2004- una "rearquitectura" de la característica.
Ante estas declaraciones, cualquiera podría pensar que Explorer 7 hubiera podido ser la ocasión más indicada para reparar el bug. Pues no: Explorer 7 se comporta exactamente igual.
Por tanto los webmasters que utilicen Explorer para manejar sus páginas web son los principales afectados. En caso de duda, sería recomendable que realizaran una búsqueda en el código fuente de sus páginas de expresiones del tipo de la siguiente:
<!-- saved from url=(0042)ftp://name:password@xxx/xxx.html -->
Se trata de la línea de comentario añadida por Explorer que puede resultar nefasta para la seguridad del sitio, puesto que incluye la contraseña y nombre del usuario que accede al sitio por ftp. Un cambio inmediato de esos datos de acceso también podría estar indicado, antes de que una búsqueda en Google proporcione a un eventual atacante la llave de su sitio.
FUENTES:
- Internet Explorer and Your Web Site's Privacy [Security Fix].
- Microsoft Internet Explorer FTP Credentials Exposure [Secunia].
- Internet Explorer discloses FTP access credentials [Heise].
Como siempre he llegado a la conclusion de que ni Explorer, ni firefox,n i opera, sino el mas desconocido de todos, ese que no vale la pena destripar pq "nadie lo usa".
"Los bancos tienen muchos numeros en el ordenador, pero poca pasta"
"Los bancos tienen muchos numeros en el ordenador, pero poca pasta"
es hoy el dia de los inocentes??? no puede ser, es imposible, como se puede tener semejante agujero de seguridad y encima desde el 2004, estamos tontos o que?
Pues me parece a mi que va a ser verdad lo que comenta hostelero, mejor adentrarse en el mundo de lo desconocido para estar más seguro porque aqui no se salva ni el tato
No me sigáis enviando la cadena de búsqueda para Google, que no la voy a publicar... pero no voy a poder evitar que la publiquen en otros sitios, así que pobres víctimas...
Después de leer la noticia me puse a jugar con el google. Resultado: pude entrar en un par de servidores. Así, tal cual. Y no tuve que esperar mucho, el primer resultado del google ya me sirvió. Y la verdad es que en temas de seguridad soy un auténtico novato. Así que si ha sido tan fácil para mí, cómo será para los "expertos". Ah! Tranquilo, que en cuanto entré hice un dir y me fui. Pero, ¿qué me hubiese impedido borrar el servidor y quedarme tan pancho? ¿eh?
Nada? ;-)
Y después, los "superhackers" toquetean una página, y creen que formateando y volviendo a instalar el servidor pero con la versión más nueva que haya solucionan los problemas de seguridad.
¿Cómo es la mezcla entre "OMG" y "WTF"?
Maybe "OMFG"
¿Evitar que se añada un comentario requiere una rearquitectura de la característica? Me debo de estar quedando atrás en programación.
Hola, yo utilizo un cliente ftp pero no del Internet Explorer, esto creo que no me afecta cierto?