Es cierto que Mozilla resuelve rápido algunos bugs (incluso cuando no son sólo responsabilidad suya), pero sin embargo hay otros cuya solución se eterniza.
Uno de estos últimos es el que permite robar las contraseñas que los usuarios de Firefox guardan en el navegador.
Y es que pese a ser considerado por Mozilla oficialmente resuelto, siguen estando abiertas posibles vías de explotación, y cualquier usuario de la última versión 2.0.0.5 puede comprobar fácilmente que su navegador continúa siendo vulnerable.
Y Safari?
anónimo27 Julio 2007 - 6:59pm
Solo si un hacker logra penetrar en un sitio e introducir codigo malicioso para robar las contraseñas es posible esto. O que el sitio sea maligno de por sí. En ese caso la responsabilidad recae en los sitios que no son seguros. Firefox solo está recordando las contraseñas en el contexto del sitio en el que se encuentra. Tal vez no debería dejar acceder a ellas a través del DOM, pero vamos, que no es algo demasiado grave e ingluso los mismos desarrolladores están debatiendo si es o no una vulnerabilidad. Heise mismo lo mencionó en su artículo.
Por otra parte, digamos que Ok, es una vulnerabilidad gravísima y que merece darle tanta cuerda. Si se preocupan por dar la noticia, porque no hablan de que Safari también cae en estos casos? Heise lo menciona, Kriptópolis no en este artículo. Seguiremos pensando que los navegadores menos usados son los mas seguros? El título solo habla de Firefox, no de Safari. Si acusan a la blogósfera de silencio en cuanto a Firefox, deberían ver vuestra postura respecto de otros navegadores primero.
ja, ja... esta es si q es buena
anónimo27 Julio 2007 - 7:16pm
Ojalá aplicaras el mismo rasero a los bugs de explorer. Por esa regla de tres la culpa del malware no es del explorer sino de "los sitios que no son seguros".
Venga, marchando otra de doble rasero que es viernes y el cuerpo pide cachondeo :-P.
Y el coño de la Bernarda?
anónimo27 Julio 2007 - 7:08pm
Es fácil: Safari no lo usa ni el Tato.
Ahora si lo que se trata es de salpicar la mierda para que alcance más lejos, pos vale. A lo mejor hay 35 navegadores más que se dejan engañar como Firefox por un simple XSS, o por un XMLHTTPRequest, pongamos por caso.
En que piensan, lo mejor es no guardar nada.
anónimo27 Julio 2007 - 3:01pm
Ningun navegador es el Fuerte Knox!!! y el fuerte Knox es vulnerable o no? solo espera a alguien que quiera robarlo y lo hara!.
Porque guardar contraseñas???, cualquier sistema es vulnerable a esto y mucho mas un navegador que tiene contacto directo con internet y esta a la orden del dia para ser husmeado en sus krypto-passwords.
En firefox es mejor activar por defecto:
"Editar->preferencias->privacidad->Siempre borrar mis datos privados al cierre de firefox." y en opciones elejir todo para borrar! y tambien "Editar->preferencias->seguridad" no deberian existir pero ahi estan y no las usemos, como son: "Recordad contraseñas" y "La madre del bug- Usar contraseña maestra"
Cualquiera que se considere un navegador "experto" no debe guardar ninguna contrseña mas que en su cerebro sino mejor coloca un POST-IT en tu maquina para recordarla...
Entonces...
anónimo27 Julio 2007 - 4:55pm
Por qué no suprimen tan peligrosa y mal realizada opción en Mozilla?
Por qué sólo pueden robarse las passwords en Firefox y no en ningún otro navegador... ni siquiera Explorer?
no funciona
anónimo26 Julio 2007 - 6:57pm
suse 10.2 y firefox 2.0.0.4
salen vacios
Sí funcionó
anónimo24 Julio 2007 - 4:06pm
Sí funcionó, usando Feisty.
Sin embargo, no me afecta tanto, ni en FF ni en IE guardo contraseñas, considero que es una mala práctica por parte del usuario (que tal vez los navegadores no deben permitir), como lo sería escribirlas en un postik al lado de la computadora.
Y considero que atacar más a al IE que a FF se debe a que el FF es más cercano a la comunidad, sigue la filosofía del software libre, pero los bugs son errores tanto en uno como en otro y por el bien de sus usuarios deben ser solucionados (o evitar que se produzcan).
aquí tampoco funciona (por suerte)
anónimo24 Julio 2007 - 10:20am
Firefox 2.0.0.4 en Feisty
(poooor suerte....)
anónimo24 Julio 2007 - 1:51pm
Hablando desde Firefox 2.0.0.4 en Ubuntu Feisty ;)
No seas ingenuo
anónimo24 Julio 2007 - 10:31am
Si no funciona es porque:
1. Tienes desactivado Javascript, o usas NoScript.
2. No has hecho correctamente la prueba.
La demo funciona en cualquier Firefox, como reconoce la propia Mozilla.
pero vamos a ver...
anónimo24 Julio 2007 - 10:51am
ingenuo? javascript desactivado? que pasa es que no te tomaste la medicación esta mañana??
ni javascript desactivado, ni mal hecho el test, no funciona y listo.
o te parece que gano algo mintiendo sobre esta tonteria?
Funcionalidad si, vulnerabidad no
anónimo24 Julio 2007 - 8:40am
Me apunto al carro de los que opinan que no es una vulnerabilidad, es como decir que es una vulnerabilidad que en windows pueda iniciar sesión un usuario Adminnistrador sin poner password.
Llamalo inseguridad, bug, agujero o como quieras pero a mi me viene muy bien el que me recuerde determinadas contraseñas al entrar en sitios 'chorras' (sitios sin ánimo de lucro), en las páginas importantes ya procuraré yo que no me guarde las keys. En el mal uso está el peligro.
No a los captcha!! Como distingo I(i latina) de l(ele)??
te parece poco
anónimo24 Julio 2007 - 5:59pm
te parece poco que el propio proyecto mozilla lo llame vulnerabilidad?
Si fuera microsoft todos estarian hablando pestes
anónimo24 Julio 2007 - 6:18am
pos eso cuando es una noticia de este tipo de microsoft todos o la mayoria no da pie con bola para atacarlo pero como es firefox todos o la mayoria :) hacen lo q sea para defenderlo, esto se me parece a los fanaticos religiosos.
faltaba
ceonio24 Julio 2007 - 9:18pm
Y cuando nadie se mete con Microchof tampoco falta quien lo eche de menos, ¿verdad? ¿será masoquismo? (que nadie se ofenda, es un comentario con intención jocosa ;) )
Bueno... ¿otra guerra de navegadores?
anónimo24 Julio 2007 - 3:39am
Precísamente me bajé Firefox 2.0.0.5 hace una semana para probarlo, pero el bug que tiene a mí no me afecta. Nunca guardo las contraseñas en el navegador.
El caso es que me gustó Firefox. Siempre he usado Opera, que es más completo en cuanto a utilidades de usuario. Y lo seguiré usando, porque funciona en un live-cd de win32 y Firefox no.
... Pero, en favor de Firefox, y probablemente a costa de alguna inseguridad, tengo que decir que el nuevo Firefox navega mejor que Opera por mostrar algunos controles que éste último no permite.
Saludos.
No, la misma
anónimo24 Julio 2007 - 9:42am
No es otra guerra: es la misma de siempre.
Los fallos en Explorer o Firefox son bugs o features... según la fe que profese el opinador.
Y que me importa
anónimo23 Julio 2007 - 10:31pm
Y que me importa que sea la idea de Microsoft? no entiendo el comentario... Para usar el firefox hay que ser antiMicrosoft?
¿bug o feature?
anónimo23 Julio 2007 - 10:20pm
El hecho de que los navegadores guarden las contraseñas se considera una "funcionalidad". En el caso del ejemplo, la misma página a donde se envió originalmente la contraseña es la que está obteniendo la que se guardó. No veo vulnerabilidad en ese sentido ya que el sitio ya conocía la clave porque ya se le había enviado.
Claro, hay un javascript que podría haber sido introducido "subrepticiamente" por un tercero. Pero eso no creo que se pueda considerar debilidad del browser sino del sitio que permitió que se metiera código ajeno en sus páginas.
¿Qué solución esperan? ¿Que no se permita que los javascripts accedan a campos tipo password? Pero hay muchos casos en que se usa javascript para verificar por ejemplo que no se dejen campos en blanco y cosas así. No se puede quitar eso así nomás porque provocaría más problemas que soluciones.
no va
anónimo23 Julio 2007 - 9:38pm
a mi no me ha funcionado..
me ha aparecido el mensajito sin el user ni la pass
iceweasel 2.0.0.5
linux/debian testing
java y javascript enabled
A mi tampoco..
anónimo25 Julio 2007 - 1:41am
Con Iceweasel 2.0.0.4 en Debian/Etch con javascript activado y el monito triste :)
Y no repito más de dos veces la demo. >:(
No hay mejor ciego
anónimo24 Julio 2007 - 10:33am
No hay mejor ciego que el que no quiere ver.
Repite la demo.
Y no hay peor sordo...
anónimo25 Julio 2007 - 4:27am
...repetí seis veces la prueba sin borrar datos privados...nada, no la pegó una sola vez, todas las ventanas dicen lo mismo pero sin mostrar usuario y contraseña ¿será mi fire otra excepción?
discrepo...
anónimo23 Julio 2007 - 8:06pm
discrepo... si el website pone la cookie, como httponly, no hay forma de ver la contraseña
Sin entrar en lo que te dice
disabled por censura23 Julio 2007 - 9:46pm
Sin entrar en lo que te dice el anterior que también es cierto, incluir soporte para unas cookies no vulnerables no implica solucionar un fallo mientras sigue habiendo cookies que si son vulnerables, de todas formas a mi nunca me han gustado los gestores de contraseñas del navegador, demasiado "estándar" como para que nadie lo ataque, demasiado pesado poner contraseña maestra para que cualquiera que lo use no pueda ver tus contraseñas, demasiado arriesgado mejorarlo a través de extensiones.
Pues discrepa...
anónimo23 Julio 2007 - 8:14pm
Es verdad que Firefox 2.0.0.5 incorpora soporte httponly... pero también sigue siendo vulnerable a XMLHTTPRequest, otra bonita forma de robar las cookies...
Ya ves... Httponly ayuda, pero no es ninguna panacea. Y es una idea de Microsoft, por cierto ;)