Hace 16 años | Por mezvan a kriptopolis.org
Publicado hace 16 años por mezvan a kriptopolis.org

[c&p] El problema afecta sobre todo a los usuarios que disponen de sitios web y acceden a ellos para modificar algún documento utilizando Explorer como cliente de FTP. Sorprendentemente, tras editar un fichero HTML y guardarlo de nuevo, Explorer incluye, como comentario en el código fuente de la página, el nombre de usuario y contraseña de acceso al servidor FTP. En resumen: cualquiera que se descargue esa página en lo sucesivo dispone de las credenciales necesarias para modificar el sitio web o hacerlo desaparecer.

Comentarios

D

#2 Pues sí, seguramente sea cosa de saber buscar:

saved from url = 37,500,000 resultados
"saved from url" = 119.000 resultados
"saved from url" +ftp = 538 resultados
...de los cuales menos de la mitad son vulnerables

Resultado: aproximadamente menos de 200 vulnerables.

D

#11, el que Google tome en cuenta el contenido de los comentarios es lo que ha provocado que se vaya a solucionar este problema.

benjami

La realidad siempre supera la ficción. Ahora sólo falta que el Frontpage incluya la contraseña del Windows.

B

#1 Pues vas a tener que aprender a buscar mejor:

"Una búsqueda rápida devuelve 30 millones de resultados y de los 50 primeros la mitad están con el culo al aire."

http://sigt.net/archivo/internet-explorer-pone-en-bandeja-los-datos-ftp.xhtml

D

Cual sería el propósito de semejante peculiaridad del explorer ??. Porque si explorer hace eso es porque alguien lo diseño o se mando hacer así...

neoz

Orale, sera posible que a los programadores de IE se les haya pasado algo tan grave como eso?

D

Esto no es un problema, sino una "feature". Por eso -y algunas cosas mas- Internet Explorer es el mejor producto IT de los últimos 25 años (relacionada: Internet Explorer: el producto IT más importante de los ultimos 25 años !!!

Hace 16 años | Por nomejodaismas a diarioti.com
).

nflamel

#19 haz esta búsqueda:
"saved from url" "ftp://"

A mí me aparece una web comprometida por este asunto en la primera página de resultados.

¿Una empresa afectada por este error y que vea comprimetidos sus datos puede perdirle responsabilidades a Microsoft por esto?

dinky

Yo también he encontrado bastantes sitios vulnerables, con user y pass. La cadena usada para buscar en google es:

"" -contraseña -password

Añado los dos últimos para no encontrarnos con las webs que anuncian este fallo.

m

relacionada:
Error muy grave de Google

Hace 16 años | Por --41694-- a google.com


Moraleja: si quieres usar el navegador para acceder a tu ftp privado, operarte los ojos con un laser de bolsillo o secarte el pelo con secador mientras te das un baño... es cosa tuya.

c

#5 evidentemente, quin ha hecho es truño no merece ser llamado 'programador'

D

Google no debería tomar en cuenta el contenido de un comentario de html. Es de cajon.

pronetpc.com

debo ser muy torpe pero buscando

"saved from url" "ftp://"

no he podido entrar en ningun sitio

snif,snif...

e

#4, ¿Y 200 equipos vulnerables te parecen pocos?

Arlequin

La explicación que dan en Microsoft es la risa. «Es que no esperábamos que nadie lo usara».

rasca

#25 Menos mal, creía que yo era el único que sabía buscar en google

k

#30 baja modesto...

Bad_CRC

pues leyendo el articulo he hecho una busqueda en un serbidor webs con unos cuantos cientos de webs al que tengo acceso y no pone el usuario y clave por ningun sitio...

D

No, el problema es quién sepa que ese truño existe y no lo solucione

O

Si hace lo mismo con los ficheros binarios...

De todas formas como me picaba la curiosidad he buscado en google: saved from +url ftp://name, y me devuelve 352 resultados, he mirado el código fuente de las 20 primeras páginas y no he encontrado la cadena con el usuario y la contraseña, solo aparecía en una, pero era al explicar el bug.

En fin, no sabre buscar, o google no lo muestra, o...

D

#10 y #12 Y si le interesa alguna pagina web que hablan mal de Microsoft?, así no tiene que pedir que eliminen los contenidos... la borra directamente! Sensura Sensura!

D

Si lo que hay en el FTP es de mucho valor y lo pierde, pues con buenos abogados puede sacar unos milloncejos (vamos todo depende de lo que ponga en los contratos del software de microsoft que todos damos a ACEPTAR sin leer ni una palabra)

e

#10, pr0n. Se ve que los programadores de Microsoft andaban necesitados y vieron en esa feature un filón para buscar pr0n comprometido.

D

Pues yo sí, será que no buscas bien

Bad_CRC

fgrep 'saved from url' asterisco/asterisco ...

si que sale ese texto pero nunca el usuario y la clave

será que mis clientes no lo usan lol

D

Yo si he podido entrar en alguna web y la verdad es que este bug es muy peligroso, quedan al descubierto incluso datos personales, numeros de tarjeta, todo... Ya he avisado a los administradores pero es una vergüenza que existan bugs así.

D

#1 HOYGAN!!! KIERO ZERBIDOR HAORAAAAAA!!!

DIOS mio...

_

#1 Cientos de webs y no has aprendido a escribir servidores...
http://buscon.rae.es/draeI/SrvltGUIBusUsual?TIPO_HTML=2&TIPO_BUS=3&LEMA=servidor

k

El error es patético pero el usar el IE como cliente FTP también es un poco patético.

Lo que no me explico es por qué grava el IE el usuario y la contraseña en el código.

D

Filezzilla power!!!