Estas aquiContenido / Robo de contraseñas en Firefox
Robo de contraseñas en Firefox
Un nuevo bug en Firefox permite a un atacante el robo de contraseñas de usuario guardadas en el navegador, siempre que se trate
de un foro o un sitio web donde el atacante tenga permitido insertar un campo input en HTML (es decir, un formulario, que bien puede ir oculto).
Según Secunia están afectados Firefox 2 y Firefox 1.x, y según el descubridor también lo está -aunque en un grado menor- Explorer...
Actualización (23-Nov, 20:45): Heise acaba de publicar una demostración mucho más elocuente que la original. Entre otras cosas desaparece el dichoso vídeo, que parece confundir a más de un lector. [+ info en Heise]
Quien desee bucear en los detalles técnicos (bastante complejos y aún no totalmente aclarados) dispone de la información pertinente en la web del descubridor y en la sección dedicada a este bug en Mozilla.
También se ha publicado una demostración en el web del descubridor. La forma de ejecutarla es la siguiente: elegimos un nombre de usuario y una contraseña para el sitio, y los guardamos en Firefox cuando salte el aviso correspondiente. Al acceder a la siguiente página y pulsar sobre el vídeo que se muestra, seremos redirigidos a Google, pudiendo observar en el campo de la dirección URL que nuestro nombre de usuario y contraseña han quedado expuestos a un web distinto del original (pulsa en esta imagen si tienes dudas).
Por mi parte sólo he sido capaz de reproducir el bug en Firefox 2.0 para Windows XP y Mac OS X. No he podido reproducirlo bajo Linux (el enlace me ha llevado a YouTube, y no a Google). Con Explorer 7 en Windows XP ni siquiera se me ha cargado la página, que es rechazada con un mensaje de error.
Espero que los lectores de Kriptópolis ayuden a clarificar el ámbito de este bug con sus comentarios y observaciones
Acabo de añadir Firefox 2 en Mac OS X a los casos en que he comprobado la existencia del bug.
Ya realize la prueba con el Firefox 2, y en efecto el fallo se da.... sin embargo, cuando lo hago con opera no pasa nada.... osea..... opera rulez !!!
-- Saludos desde CR Zeus God
--
Saludos desde CR
Zeus God
No, en Linux no pasa por lo menos a mí.
"Cuando Creiamos Tener Todas Las Respuestas....De Pronto Cambiaron Todas Las Preguntas"
Hice la prueba con Firefox 1.5.0.8 tanto en Windows como en Linux, en el caso de Windows el bug se ejecuta, si elijo grabar el usuario y contraseña me envia a google y en la barra de la direccion aparece el usuario y el password, si elijo no guardar la contraseña va hacia google pero no aparecen los datos. En el caso de Linux no me redirecciona a google, va hacia la pagina en youtube donde esta el video.
Probé y en efecto mi login y password se muestran usando Firefox 2.0.
También hice la prueba en IE7 y este tambien va a dar a google, pero mis datos no se muestran en la URL.
En ambos usando WinXP...
http://cjervis.blogspot.com
Linux, No... Windows, cuando lo ponga lo pruebo :) Vamos a poner la nota... picante... Si lo he entendido bien... el bug es: Vas a una página que desconoces a bajar un vídeo... y para bajar un video, te piden usuario y contraseña... Empezamos bien... y yo claro, le daré el usuario y contraseña de mi banco, pues es la que uso para todas las cuentas... Pero no sólo eso, como soy comodón, le doy a recordar la contraseña... Si no hago todo eso, no funciona el bug... Curioso... O sea, está claro, este bug sólo afectará a usuarios de Windows, que vengan del Explorer y que usen Firefox... :D:D Que se vuelvan al explorer, hombre! :D:D:D Saludos, siempre viene bien una nota de humor... Hasta denmtro de un par de dias, que corrijan ese GRAVISIMO bug ;)
No es buen sistema negar las evidencias. Sí: bug en Firefox. La cuestión es que parece que no has entendido nada. No se te pide contraseña para descargar un video sino para loguearte en un sitio. El vídeo es solo un ejemplo de como al pulsar sobre _algo_ tu password de ese sitio vuela donde no debe. Y si lo quieres con ajax ni siquiera necesitas pulsar nada. ¿Te parece poco bug? ¿A que vienen ahora todas esas chorradas sobre windows?
Voyager, a pesar de dedicarte a la seguridad (¿?) tienes una escasa idea de lo que un bug de este tipo puede hacer, amplia las posibilidades mas haya del ejemplo expuesto y veras que se vuelve mas peligroso de lo que parece. Seamos un poquito más críticos y objetivos.
No he podido confirmar que funcione en Opera 9.10 (8653) la web a esta hora no carga.
Saludos.
Vamos a ver, que siempre se me lee por donde no se me tiene que leer, o quizá sea que no me explico lo suficientemente claro. El bug está ahí. Eso lo ve cualquiera, el matiz es la forma de llegar a ese bug. Es decir. para que la falla de seguridad salte, necesitamos saltarnos una de las normas más universalmente establecidas en el mundo de la seguridad como que las contraseñas de seguridad NO SE GUARDAN ni en el navegador, ni en un postit, ni en el escritorio, ni en la nevera con un imán. Punto uno, ya empezamos fallando en la metodología. Punto dos, se transmiten las contraseñas que enviemos en el formulario de la página atacante... Y? esas contraseñas son vitales? Si le pongo como usuario el nombre de mi perro, y la clave su fecha de nacimiento (contraseñas altamente seguras, por otro lado) se trasnmitirán a su dominio, de acuerdo, y? Bueno, hay que dar la razón que, según la LOPD conocerán un dato privado mío, sabrán el nombre de mi perrito y podran enviarle un hueso el día de mi cumpleaños. A donde quiero llegar, es, que vale, eso está ahí, pero técnicamente el bug es irrelevante, debido a que poco podrán hacer los atacantes con la información recopilado que está sólo en el ambito de su host. Pongámonos en el caso en que se trata de un pishing, y que el atacante usa ese bug para recopilar nuestras contraseñas. No sería más cómodo, para el atacante, simplemente recoger la clave en plano, y dejarse de historias? Pues tiene que contar con que el usuario le de al boton "recordar"... ya que estamos podríamos usar ingeniería social, y decirle al usuario "No olvide pulsar el boton recordar antes de enviar las claves", seguro que alguno picaría y el método funcionaría. Bueno, que a eso me refería. El bug está ahí, me parece acertada la frase de JMG de decir que técnicamente está en discusión, si es explotable o no, porque realmente es así. Este bug, a menos que me demuestren lo contrario. Saludos
No sé si lo he entendido bien ... 1.Resulta que yo envio un login y clave a un sitio web ... 2.Este sitio Web recupera el login y password que le estoy enviando y es capaz de enviarlo a otro sitio. Hombre, esto es algo que se puede hacer en cualquier programa muy fácil, tengo la contraseña y el password (¡se lo acabas de enviar!), y lo redirijo a otro sitio. El problema sería que pudiera acceder a las claves de otro sitio que no le he enviado, y según las pruebas que he realizado solo envia la clave del sitio en cuestion. Donde está el verdadero problema es si yo, como editor del sitio web A, incluyo contenido del sitio B (por ejemplo un video), y el sitio B es capaz de capturar los datos sin que el sitio A tenga constancia de ello.
www.devjoker.com