Hace 16 años | Por Nabuko a visualbeta.es
Publicado hace 16 años por Nabuko a visualbeta.es

Un mes después de que Mozilla lanzase la versión 2.0.0.11 de su navegador Firefox para solucionar un problema de seguridad urgente, un especialista en seguridad israelí llamado Aviv Raff ha descrito un vulnerabilidad con dicha versión del navegador en el método usado por Firefox para mostrar los diálogos de autentificación que pueden aprovechar los hackers para obtener información sobre los usuarios y las contraseñas.http://www.youtube.com/watch?v=NaCPw1s3GFw

Comentarios

sorrillo

Ya se dijo y se repitió en su momento. Usar el argumento de la seguridad para promoverlo era un error.

Pero los hay que no quieren escuchar.

angelitoMagno

Vulnerabilidad de Phising. Con un poco de sentido común en el nivel 8 del modelo OSI se evitan

furby

#4 lo que pasa es que los errores del Internet Explorer ya no se ponen porque no son noticia, no es algo raro, en cambio si los de firefox.

borre

Parecéis crios lol

D

#27 De todas formas, y continúo, eso no quita que Opera sea otra excelente alternativa... de hecho, lo tengo instalado junto al Firefox 3 Beta 2

j

#12 o políticos lol

w

#30 Tu sabes la cnatidad de gente con tiempo libre hay en internet???? Porque la cantidad de chorradas que te encuentras...debe ser debido a que hay mucho tiempo libre. Y sabes tu la cantidad de geeks que la pueblan? ... asi a ojo unos cuantos millones... y como hay gente para todo, seguro que unos cuantos miles se dedican a estudiar precisamente , cualquier programa linea a linea...porque asi se sienten felices y porque asi pueden "tirarse el pisto" en los foros cuando descubren algun fallo.

A lo mejor lo que para ti es dificil...otros lo ven a simple vista

Saludos

rafaelbolso

NoScript está desde siempre con mi Firefox.

D

Me pregunto si está afectada la versión 3 beta 2...

De todas formas, nunca navego sin mi NoScript

D

El engaño es a priori indetectable en Firefox ->



Y recordad, Firefox blindadito con NoScript y un poco de cautela (sobre todo si se trata de contraseñas importantes) son la mejor defensa.

Rager

Esto... el NoScript no sirve para nada contra este "exploit" (cuyo descubrimiento tampoco es la rehostia). Se trata del sistema de autentificación de HTTP y una disposición de información poco acertada por parte de Firefox, no de un Javascript malicioso que presente un popup de tipo antes desconocido. No se suele usar mucho porque no es más seguro que un formulario de toda la vida y queda bastante feo. Pero es una solución fácil y rápida para el programador que mostrará un bonito error 403 si falla. El script son dos líneas muy sencillas en PHP o cualquier otro lenguaje CGI que sepa de toquetear cabeceras.

Creo recordar que hace unos años también hubo algo parecido relacionado con el desbordamiento de línea que permitía ocultar la procedencia de la petición de credenciales.

k

Espero que se solucione pronto, pero los últimos fallos graves se tardó bastante. El problema es que son graves pero no críticos (¿algún sitio realmente importante usa este tipo de autenticación? Desde luego google check out no.

D

#18, yo no he programado el NoScript, por lo que no lo se a ciencia cierta, pero si realmente bloquea el script de las páginas no autorizadas, en este caso funcionaría la protección, porque el código del script has sido generado por la página del atacante, no por la página que usuario está viendo.

Serà una vulnerabilidad grave, pero la solución es bien sencilla. El fallo se basa en que el tio en la cadena de REALM (es decir, como dice que se llama la página en la que nos estamos identificando) pone lo de "Google Checkout Verysign certified..."

Solo hay que modificar el diseño del popup de id/password para que mostrara más información. Ejemplo rápido:
Solicitud de credenciales
Desde http://www.soyunhacker.com/
REALM: Google Checkout Verysign certified...
*Introduzca sus datos*

A

Opera...

jfabaf

Lo bueno es que siendo firefox el fallo se arreglará muy pronto, si el fallo fuera de IE tardaría meses en arreglarse...

D

#17 Bueno, indetectable no es. No recuerdo ningún sitio aparte de ftp o el acceso web al router donde se use ese tipo de diálogos, es difícil que te la cuelen, sobre todo porque te darías cuenta de que el tipo de autentificación es distinto al de siempre.
Por otro lado a no ser que NoScript se de cuenta de lo que pasa, lo normal es que permitas javascript en una página de compras que lo puede necesitar para otros muchos propósitos.

rafamerino

Secundo a #25 totalmente, pese a que por el mero hecho de alabar a Opera obtenga votos negativos de esos talibanes antimicrosoft que apoyan a firefox como si fueran comerciales pagados...


Tengo instalados 4 navegadores en windows y 3 en debian, sigo usando opera porque va más rapido y punto. Al que le joda que usando menos ram vaya más rapido, que se joda, pero que no critique que porque algo sea privativo no se pueda usar, a ver si ahora resulta que esa gente no tendrá algun software de código cerrado instalado, o que nunca lo usan...

Tiene cojones la hipocresía que hay a veces.

cylmor

#18 Pero el script que ejecutas está en la página atacante, no en la que te redirecciona (en este caso Google)

Creo lol

Nukeador

Me parece increible que se trate esto como "grave vulnerabilidad" cuando no lo es, es simplemente un fallo de diseño, aclaración:

http://www.mozilla-hispano.org/foro/viewtopic.php?p=1589#p1589

p

#23 de los mas bajo compararse con ie, aparte, firefox al ser libre debería ser comparado con navegadores libres, aunque ahí quedaría bastante mal parado en el tema de seguridad al menos(y en otros tantos mas...)

D

Opera 0wns.Y encima no te chupa ni un tercio de la ram que se mama el tragasables firefox.

D

empezamos bien el año lol

L

Bueno, esperemos que la capacidad de reacción sea rápida y tengamos una revisión pronto.

D

casi que ni el REALM es necesario, por ser completamente arbitrario

D

Está claro que las ideologías están presentes en todos los ámbitos.

Pues yo personalmente uso firefox sólo por llevarle la contraria a Micro$oft, es mi manía personal.

musg0

#25 ¿Tú valoras tener el código fuente a mano? ¿Que cualquiera pueda revisarlo e informar de errores o fallos de diseño? ¿Poder ver por tí mismo qué es lo que hace? ¿Poder compilar el programa con pequeños cambios hechos por tí que mejoran tu experiencia de uso del programa? ¿Poder exponer en foros cambios y mejoras a los programas que usas? y hay más razones por las que usar cualquier soft libre...

Yo sí valoro todo esto, y por eso creo que Firefox es mejor que cualquier otro navegador, y el soft libre es la mejor forma de hacer soft generalista, ya que fallos tienen todos los programas y creo que el modelo de desarrollo libre hace que cualquier programa sea más seguro y se amolde mejor a las necesidades de los usuarios porque hay mucha más gente probando el soft y tratando de explotar fallos y aunque no estén corregidos todos los fallos la información sobre la solución de errores es más transparente y yo tengo capacidad para entender esa información y actuar en consecuencia.

Si tú no valoras lo anteriormente expuesto entonces te valdrá cualquier soft, libre o cerrado. Todo lo demás son diatribas sin sentido. Que cada uno elija lo que quiera pero razonandolo.

D

Ya se ha escrito mil veces que escribamos nosotros mismos la URL de los sitios donde nos autentificamos, si te vas a la página de otro, que además no conocerá ni dios, pulsas un enlace que supuestamente apunta a un sitio del que tienes cuenta y metes tus contraseñas en un cuadro totalmente distinto al oficial es que simplemente no tienes ni idea de usar Internet con unas mínimas garantías de seguridad, no tiene nada que ver con Firefox. Si eres un palurdo en ese sentido entonces Opera solucionará tu problema, sino simplemente espera a que salga el parche, no tardará mucho en comparación con los errores de IE, eso seguro.

D

Solución: Usar Opera.

D

#36 Me lo has quitado de la boca

Hay gente que no entiende todavía el sentido del software libre

B

Ojala lo arreglen pronto. Firefox es superior a explorer

a

que malo malo es Explorer! siempre igual con sus bugs!!! igualito que,,,

H

Solución: usar Firefox y no la mierda del Mierda$$$oft Exploiter asqueroso.

¿Eso es lo que siempre se dice en estos casos, no? ¿Lo he hecho bien?

TonyCool

Es acaso mejor el Firefox porque puedes ver el código fuente? #11 ¿qué tiene que ver una cosa con la otra? las características y los "bugs" es lo que hacen a un navegador mejor o peor que otro, y no si el código fuente es abierto o no... ambos son "de libre y gratuito uso".

Yo sigo diciendo que lo mejor es Opera (lo uso en Windows, Linux, Móvil Symbian y Wii), y como dijo #10, mucha gente quiere "aparentar de que son muy guays" porque son "Anti-Microsoft" usando el Firefox, y como eso duele... pues atormentan a comentarios y acusan con negativos a los que no piensan como ellos.

Cada vez que sale una versión nueva de Firefox, a las 2 semanas se descubre una "grave vulnerabilidad de seguridad"... Cuando se ha visto eso en Opera? por ejemplo.

p

#27 vos te piensas que hay gente que lee código y descubre bugs???, bueno te digo que no es así, ojala fuera así, pero no la programacion es algo un poquito mas complicado, no es tan facil como: "es libre miro el código un rato y ya veo los bugs"(a menos que seas neo), o "a mira es libre voy a hacer un par de modificaciones". esto no quiere decir que ser libre no tengas sus ventajas, pero precisamente buscar bugs leyendo código no es una de ellas.

i

Si pero como está de moda usar firefox para parecer que sabes más, pues se usa, que tiene fallos, pues uno se calla y punto. Todo por parecer que se controla del tema.
Siempre hay alternativas.
#6 Opera no es privativo, hace ya tiempo y unas cuantas versiones.