Explorer revela datos de acceso a servidores FTP

Enviado por admin el 14. Agosto 2007 - 19:16.

El problema afecta sobre todo a los usuarios que disponen de sitios web y acceden a ellos para modificar algún documento utilizando Explorer como cliente de FTP.

Sorprendentemente, tras editar un fichero HTML y guardarlo de nuevo, Explorer incluye, como comentario en el código fuente de la página, el nombre de usuario y contraseña de acceso al servidor FTP. En resumen: cualquiera que se descargue esa página en lo sucesivo dispone de las credenciales necesarias para modificar el sitio web o hacerlo desaparecer...

¿Conoce Microsoft la existencia del problema? Sí, y al menos desde 2004. Para Microsoft, la capacidad de cliente ftp se incluye en Explorer sólo "por comodidad", pero no se trata de un auténtico cliente de ftp. Por otro lado modificar este comportamiento requeriría -decía Microsoft en 2004- una "rearquitectura" de la característica.

Ante estas declaraciones, cualquiera podría pensar que Explorer 7 hubiera podido ser la ocasión más indicada para reparar el bug. Pues no: Explorer 7 se comporta exactamente igual.

Por tanto los webmasters que utilicen Explorer para manejar sus páginas web son los principales afectados. En caso de duda, sería recomendable que realizaran una búsqueda en el código fuente de sus páginas de expresiones del tipo de la siguiente:

<!-- saved from url=(0042)ftp://name:password@xxx/xxx.html -->

Se trata de la línea de comentario añadida por Explorer que puede resultar nefasta para la seguridad del sitio, puesto que incluye la contraseña y nombre del usuario que accede al sitio por ftp. Un cambio inmediato de esos datos de acceso también podría estar indicado, antes de que una búsqueda en Google proporcione a un eventual atacante la llave de su sitio.

 

FUENTES:

 

»

Comentarios

Selecciona tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tus preferencias entre visitas (sólo si eres usuario registrado).

Como siempre

Enviado por hostelero el 14. Agosto 2007 - 19:36.

Como siempre he llegado a la conclusion de que ni Explorer, ni firefox,n i opera, sino el mas desconocido de todos, ese que no vale la pena destripar pq "nadie lo usa".

"Los bancos tienen muchos numeros en el ordenador, pero poca pasta"

ole ole y ole

Enviado por anónimo el 14. Agosto 2007 - 20:15.

es hoy el dia de los inocentes??? no puede ser, es imposible, como se puede tener semejante agujero de seguridad y encima desde el 2004, estamos tontos o que?

Pues me parece a mi que va a ser verdad lo que comenta hostelero, mejor adentrarse en el mundo de lo desconocido para estar más seguro porque aqui no se salva ni el tato

Sinvergonzones ;)

Enviado por admin el 14. Agosto 2007 - 22:58.

No me sigáis enviando la cadena de búsqueda para Google, que no la voy a publicar... pero no voy a poder evitar que la publiquen en otros sitios, así que pobres víctimas...

Pues sí, pobres víctimas

Enviado por anónimo el 15. Agosto 2007 - 12:05.

Después de leer la noticia me puse a jugar con el google. Resultado: pude entrar en un par de servidores. Así, tal cual. Y no tuve que esperar mucho, el primer resultado del google ya me sirvió. Y la verdad es que en temas de seguridad soy un auténtico novato. Así que si ha sido tan fácil para mí, cómo será para los "expertos". Ah! Tranquilo, que en cuanto entré hice un dir y me fui. Pero, ¿qué me hubiese impedido borrar el servidor y quedarme tan pancho? ¿eh?

A ver si lo acierto...

Enviado por admin el 15. Agosto 2007 - 12:09.

¿qué me hubiese impedido borrar el servidor y quedarme tan pancho? ¿eh?

Nada? ;-)

hackeos

Enviado por anónimo el 16. Agosto 2007 - 14:37.

Y después, los "superhackers" toquetean una página, y creen que formateando y volviendo a instalar el servidor pero con la versión más nueva que haya solucionan los problemas de seguridad.

Necesito un diccionario

Enviado por anónimo el 15. Agosto 2007 - 1:25.

¿Cómo es la mezcla entre "OMG" y "WTF"?

Response

Enviado por anónimo el 15. Agosto 2007 - 15:29.

Maybe "OMFG"

¿Rearquitectura?

Enviado por anónimo el 15. Agosto 2007 - 17:04.

¿Evitar que se añada un comentario requiere una rearquitectura de la característica? Me debo de estar quedando atrás en programación.

Yo utilizo un cliente ftp pero no de IE

Enviado por anónimo el 16. Agosto 2007 - 4:19.

Hola, yo utilizo un cliente ftp pero no del Internet Explorer, esto creo que no me afecta cierto?

Quiero añadir otra cosa...

Enviado por anónimo el 16. Agosto 2007 - 4:26.

Esto no afecta cuando por ejemplo se "Descargan" algo por ftp por ejemplo una distro de linux o algo por el estilo, el cual comienzan por el protocolo "ftp://"?

un saludo

No

Enviado por admin el 16. Agosto 2007 - 10:02.

Es un fallo de la aplicación IE, no del protocolo.

Tranquilos, que no es pa tanto...

Enviado por anónimo el 17. Agosto 2007 - 11:10.

Al leer el titular me llevé doble susto: como usuario y como diseñador.

Como esto último, quisiera quitarle hierro a la noticia (de la cual ya se han hecho eco infinidad de blogs y ninguno analizando la

La secuencia de eventos que muestran esta vulnerabilidad (la cual existe y nadie la niega) es un poco absurda desde el punto de vista de cualquier diseñador, webmaster o incluso usuarios inexpertos (¿cuántos inexpertos se pondrían a actualizar un sitio web por FTP a través del navegador?)

Cualquier diseñador/webmaster sabe que el proceso normal - en caso de actualizar algún archivo por este medio, lo cual también es excepcional (hago la web con Dreamweaver pero subo los archivos con el Explorer... vamos anda...) - es copiar el archivo (no guardarlo cuando lo estamos viendo) al disco duro, editarlo, guardar los cambios en local y pegarlo/subirlo al servidor nuevamente.

Quiero recalcar -ya que todo el mundo está diciendo eso y a mí también me lo hizo pensar al leer el titular - que no se inserta ningún código por el hecho de copiar, mover, renombrar, pegar archivos en conexión FTP a través del navegador, sólo ocurre cuando abrimos esa página y le damos a la opción Archivo-Guardar como...

No entendí

Enviado por anónimo el 18. Agosto 2007 - 8:16.

No entendí tu comentario, podrías redactarlo de otra manera ? No tengo como probarlo acá, no tengo nada con windows....

Gracias

Solo si lo Editas con el Explorer te Afecta

Enviado por anónimo el 18. Agosto 2007 - 23:13.

Lo que quisieron decir es que solo si editas el archivo y lo guardas con dicho navegador se da el "Fallo" (Que descaro) eso significa que no pasa nada si tienes el archivo guardado en tu disco local y lo subes via FTP por el Explorer (Solo que como de costumbre lo que te puede pasar es que se te pegue el navegador y consigas un par de virus nuevos para la coleccion... entre otras cosas que pueden pasar por cierto no muy buenas.)

Son las cosas del Billypuertas

Enviado por anónimo el 19. Agosto 2007 - 12:46.

La verdad es que viendo la cantidad de agujeros que tienen los productos Microsoft, como todavía nos quedan ganas de usar sus productos. Hoy es eso y mañana será otra cosa, que le vamos a hacer.

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...