[c&p] El problema afecta sobre todo a los usuarios que disponen de sitios web y acceden a ellos para modificar algún documento utilizando Explorer como cliente de FTP. Sorprendentemente, tras editar un fichero HTML y guardarlo de nuevo, Explorer incluye, como comentario en el código fuente de la página, el nombre de usuario y contraseña de acceso al servidor FTP. En resumen: cualquiera que se descargue esa página en lo sucesivo dispone de las credenciales necesarias para modificar el sitio web o hacerlo desaparecer.
Comentarios
#2 Pues sí, seguramente sea cosa de saber buscar:
saved from url = 37,500,000 resultados
"saved from url" = 119.000 resultados
"saved from url" +ftp = 538 resultados
...de los cuales menos de la mitad son vulnerables
Resultado: aproximadamente menos de 200 vulnerables.
Ah, ¿Pero alguien usa aún el explorer?
#11, el que Google tome en cuenta el contenido de los comentarios es lo que ha provocado que se vaya a solucionar este problema.
La realidad siempre supera la ficción. Ahora sólo falta que el Frontpage incluya la contraseña del Windows.
#1 Pues vas a tener que aprender a buscar mejor:
"Una búsqueda rápida devuelve 30 millones de resultados y de los 50 primeros la mitad están con el culo al aire."
http://sigt.net/archivo/internet-explorer-pone-en-bandeja-los-datos-ftp.xhtml
Cual sería el propósito de semejante peculiaridad del explorer ??. Porque si explorer hace eso es porque alguien lo diseño o se mando hacer así...
Orale, sera posible que a los programadores de IE se les haya pasado algo tan grave como eso?
Esto no es un problema, sino una "feature". Por eso -y algunas cosas mas- Internet Explorer es el mejor producto IT de los últimos 25 años (relacionada: Internet Explorer: el producto IT más importante de los ultimos 25 años !!!
Internet Explorer: el producto IT más importante d...
diarioti.com#19 haz esta búsqueda:
"saved from url" "ftp://"
A mí me aparece una web comprometida por este asunto en la primera página de resultados.
¿Una empresa afectada por este error y que vea comprimetidos sus datos puede perdirle responsabilidades a Microsoft por esto?
Yo también he encontrado bastantes sitios vulnerables, con user y pass. La cadena usada para buscar en google es:
"" -contraseña -password
Añado los dos últimos para no encontrarnos con las webs que anuncian este fallo.
relacionada:
Error muy grave de Google
Error muy grave de Google
google.comMoraleja: si quieres usar el navegador para acceder a tu ftp privado, operarte los ojos con un laser de bolsillo o secarte el pelo con secador mientras te das un baño... es cosa tuya.
#5 evidentemente, quin ha hecho es truño no merece ser llamado 'programador'
Google no debería tomar en cuenta el contenido de un comentario de html. Es de cajon.
debo ser muy torpe pero buscando
"saved from url" "ftp://"
no he podido entrar en ningun sitio
snif,snif...
#4, ¿Y 200 equipos vulnerables te parecen pocos?
La explicación que dan en Microsoft es la risa. «Es que no esperábamos que nadie lo usara».
#25 Menos mal, creía que yo era el único que sabía buscar en google
#30 baja modesto...
pues leyendo el articulo he hecho una busqueda en un serbidor webs con unos cuantos cientos de webs al que tengo acceso y no pone el usuario y clave por ningun sitio...
No, el problema es quién sepa que ese truño existe y no lo solucione
Si hace lo mismo con los ficheros binarios...
De todas formas como me picaba la curiosidad he buscado en google: saved from +url ftp://name, y me devuelve 352 resultados, he mirado el código fuente de las 20 primeras páginas y no he encontrado la cadena con el usuario y la contraseña, solo aparecía en una, pero era al explicar el bug.
En fin, no sabre buscar, o google no lo muestra, o...
#10 y #12 Y si le interesa alguna pagina web que hablan mal de Microsoft?, así no tiene que pedir que eliminen los contenidos... la borra directamente! Sensura Sensura!
Si lo que hay en el FTP es de mucho valor y lo pierde, pues con buenos abogados puede sacar unos milloncejos (vamos todo depende de lo que ponga en los contratos del software de microsoft que todos damos a ACEPTAR sin leer ni una palabra)
#10, pr0n. Se ve que los programadores de Microsoft andaban necesitados y vieron en esa feature un filón para buscar pr0n comprometido.
Pues yo sí, será que no buscas bien
fgrep 'saved from url' asterisco/asterisco ...
si que sale ese texto pero nunca el usuario y la clave
será que mis clientes no lo usan
Yo si he podido entrar en alguna web y la verdad es que este bug es muy peligroso, quedan al descubierto incluso datos personales, numeros de tarjeta, todo... Ya he avisado a los administradores pero es una vergüenza que existan bugs así.
#1 HOYGAN!!! KIERO ZERBIDOR HAORAAAAAA!!!
DIOS mio...
#1 Cientos de webs y no has aprendido a escribir servidores...
http://buscon.rae.es/draeI/SrvltGUIBusUsual?TIPO_HTML=2&TIPO_BUS=3&LEMA=servidor
El error es patético pero el usar el IE como cliente FTP también es un poco patético.
Lo que no me explico es por qué grava el IE el usuario y la contraseña en el código.
Filezzilla power!!!