Nueva vulnerabilidad de Firefox: favoritos que roban cookies

Enviado por admin el 22. Febrero 2007 - 17:59.

Bug en FirefoxZalewski vuelve a golpear la línea de flotación de Firefox con una nueva vulnerabilidad, que posibilita el robo de cookies entre dominios cruzados al permitir este navegador que se puedan guardar como favoritos algunos tipos de esquemas URL, como los que empiezan por data: o incluso javascript:.

Al volver a cargar esos bookmarks, se puede ejecutar el javascript que contengan, y lo harán además en el contexto de la página en que en ese momento nos encontremos...

Según Zalewski, podrían robarnos fácilmente las cookies de autenticación de Gmail, por ejemplo, y acceder a nuestro correo. Zalewski tampoco descarta un eventual -aunque poco probable- compromiso de la máquina.

Para demostrarlo, el hacker polaco ha puesto en marcha -como siempre suele hacer- una página de demostración.

Explorer 7 no es vulnerable, porque no permite hacer bookmarks de ese tipo de direcciones a no ser que se introduzcan a mano. Tampoco es vulnerable Opera 9.10.

Más información:

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Se busca guapo

Enviado por Kersten el 22. Febrero 2007 - 18:18.

A ver quien es el guapo que vuelve a decir que Firefox es el navegador más seguro o que es más seguro que Explorer.

Firefox es un navegador fuertemente basado en javascript que necesita que se desactive javascript para no resultar un colador.

Y lo siento amigos, pero javascript es un componente fundamental (y cada vez más) de la Web.

Yo de guapo poco

Enviado por mced el 22. Febrero 2007 - 18:38.

Y como pro-Opera, ni se me ocurre afirmar que Firefox es el navegador más seguro.

Pero que es más seguro que MS IE, no hace falta; Secunia se encarga de afirmarlo (aunque hoy parecen estar más igualados que de costumbre):

MS IE 6 - Unpatched 19 advisories - Most severe: moderately critical
MS IE 7 - Unpatched 6 advisories - Most severe: moderately critical
Firefox 1 - Unpatched 4 advisories - Most severe: less critical
Firefox 2 - Unpatched 8 advisories - Most severe: moderately critical
Opera 8 y 9 - Unpatched 0 advisories

Y estos datos no tienen en cuenta el dato fundamental, que es la presteza en solucionar vulnerabilidades (virtud en la que siempre flaquea Microsoft) o el siempre inquietante agujero que suponen los controles ActiveX, ausentes en sus rivales.

Javascript es un componente *frecuente* de la web, que es distinto de *fundamental*. Y sí, desgraciadamente cada vez es más *frecuente*, en muchos casos sin razón que lo justifique.

Lo que no acabo de comprender es ese concepto de "navegador basado en Javascript".

Mced - Javascript es fundamental no frecuente

Enviado por devjoker el 23. Febrero 2007 - 8:54.

No comparto tu opinión de que Javascript es frecuente en vez de fundamental.

Si desactivamos JavaScript estamos renunciando a gran parte de la funcionalidad de la web, desde sencillos scripts de comprobación de datos del estilo de "el titulo es necesario" hasta la complejas aplicaciones con AJAX. Gran parte de los postback que hacen las web estan controlados por js, todo tipo de efectos visuales ... si lo desactivamos, muchas de nuestras "webs" preferidas dejarian de funcionar.

Desgraciadamente, el lado oscuro de javascript es que permite ejecutar código en la máquina que esta visitando la web, y eso, es ya de por si un riesgo.

Creo que es solo cuestión de tiempo que "alguien con mucho tiempo libre y un poquito de mala leche" descubra la forma de tirar abajo IE7, Firefox, Opera ...

www.devjoker.com

Estoy bastante acostumbrado

Enviado por mced el 23. Febrero 2007 - 9:51.

Estoy bastante acostumbrado a navegar con scripts desactivados (aunque reconozco que con Windows lo hacía más) y, por mi experiencia personal, nueve de cada diez sitios en los que no podía entrar debido a eso, era por razones de snobismo o estética. Qué gran webmaster que soy que meto tipo de chorradas inútiles y así le cobro un extra a los ignorantes de mis clientes, que también dependen de lo ignorantes que son sus potenciales clientes (visitantes de su web).

JS podrá ofrecer comodidad o diseño, pero su añadido de funcionalidad me parece escaso. Sobre todo existiendo la alternativa del proceso del lado del servidor (con el que mucha de la interactividad en foros de internet se puede conseguir con JS desactivado).

La elección del proceso del lado del cliente o del servidor sería trivial si no fuera por los peligros que tiene el primero. Sólo por eso, merece la pena intentar desterrarlo de la web.

Hum, ¿cuestión de tiempo? Ya los han tirado abajo muchas veces.

Interesante ... entro al trapo!

Enviado por devjoker el 23. Febrero 2007 - 10:23.

Interesante ... lo que dices tiene su sentido, pero depende del tipo de web. En una web estilo "poster-mostrador", el js puede ser innecesario, ¡aunque muchas veces es petición expresa del cliente y no de la ambiación del webmaster! Este tipo de Webs suelen evolucionar hacia "quiero un Flash y que no este quieto nada". 

No soy muy amigo del javascript (¡sorpresa!), las validaciones de javascript hay que repetirlas siempre en el servidor, pero no me queda mas que reconocer que es muy necesario sobre todo cuando queremos hacer una aplicación.  Un ejemplo, una sencilla tienda online, pulsamos el boton comprar y como la conexion va un poco lenta le acabamos dando 50 veces al boton porque "no compra". Resultado: 50 pedidos. Con un simple javascript que hubiera deshabilitado el botón se hubiera solucionado (Es solo un ejemplo, ya se que hay otras forma de evitarlo)

Renunciar a JavaScript es renunciar a mucha de la funcionalidad de la web.

"solo cuestión de tiempo que "alguien con mucho tiempo libre y un poquito de mala leche" descubra la forma de tirar abajo IE7, Firefox, Opera ..." Nuevamente!

www.devjoker.com

Yo navego con NOScript

Enviado por FedeTheGreat el 23. Febrero 2007 - 11:20.

Yo navego con NOScript activado y solo dejo pasar a los sitios de "confianza" y la verdad que no me pierdo de nada...
Linux User #404818

No es cierto

Enviado por Kersten el 23. Febrero 2007 - 11:44.

yo también uso javascript y día sí y día también me encuentro con webs donde o abro javascript o no puedo verlas (a veces ni cargar nada). Si el contenido me interesa (y por eso precisamente he clicado) no me queda mas remedio que dejar que pase su javascript.

Con un uso estricto de noscript te perderías media web. No me lo creo. 

Depende

Enviado por mced el 23. Febrero 2007 - 14:12.

Navegando por la internet comercial, es indudable que se ponen muchas trabas al no uso de scripts.

En la internet de la información, muy pocas.

ese tío no para

Enviado por raposo el 22. Febrero 2007 - 18:21.

No estará el Zalewski ese subcontratado por Microsoft, ja ja. Aunque me parece bien que le ponga las pilas a Mozilla no se si se estará pasando un poco...

"Meigas, habelas hailas"

Eso, eso

Enviado por Kersten el 22. Febrero 2007 - 18:26.

A matar al mensajero.

12siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
6 + 5 =
Resuelve esta sencilla operación e introduce el resultado.