Clickjacking

martes 30 de septiembre de 2008
Un poco acojonado me tiene este tema ya que no sabemos mucho de el, solo sabemos que es una vulnerabilidad descubierta por Jeremiah Grossman y Robert Hansen y que afecta a todos los navegadores (salvo algunos basados en texto como Lynx, links, etc). La vulnerabilidad consiste en que si entramos en una página maliciosa, esta nos puede controlar el resto de vínculos de esa página, pudiendo acceder a ellos sin que nosotros nos demos cuenta, es decir, una putada muy grande ya que podemos visitar sin quererlo páginas de todo tipo y nada bueno.

Lo que si sabemos es que el bug no está relacionado con Javascript así que por mucho que usemos NoScript no estamos protegidos del todo como bien comenta Jeremiah:

"NoScript would prevent most of the really bad clickjacking PoC, not 100%, which should be good enough to limit most risk"

"NoScript prevendría la mayoría de Pruebas de Concepto del ClickJacking, no el 100% que sería lo perfecto para limitar el riesgo"

De momento no hay ningún parche para ningún navegador y los creadores de la vulnerabilidad ya se han puesto en contacto con las empresas para que se pongan las pilas. Suponemos que les darán un tiempo y sino publicarán la vulnerabilidad (cosa buena porque aceleraría las reacciones de las empresas y mala porque la gente se aprovecharía de ella).

Ya se han publicado algunas especulaciones de las pruebas de concepto aunque nada es 100% seguro.

Un buen ejemplo de lo que hace la vulnerabilidad la encontramos en dragonjar:

"Para poner un ejemplo sencillo un atacante podría por ejemplo obligarnos a visitar enlaces de AdSense (aumentando las ganancias del usuario malicioso), se podría ofertar automáticamente en sitios como MercadoLibre o eBay, robar nuestra información personal, bancaria, etc… Con el hecho de hacernos visitar la url que ellos decidan las acciones que nos podemos realizar sin darnos cuenta solo son limitadas por la imaginación del atacante"

Bueno, pues otra vez nos tienen en vilo y asustados, esperemos que esto no vaya a mas y se saque un parche pronto. Seguiremos dandoos mas noticias sobre este tema.

Un saludo
Publicado por Asfasfos 0 comentarios
Etiquetas:

Ya estamos de vuelta!!!

lunes 29 de septiembre de 2008
Bueno, después de una semanita cambiando el hosting y demás ya estamos de vuelta con el blog, a ver si nos da tiempo a postear nuevas cosillas interesantes.

Un saludo a tod@s!!!
Publicado por Asfasfos 0 comentarios
Etiquetas:

El verdadero comic de Chrome

lunes 8 de septiembre de 2008
Jajaja, siempre pensando en lo único...aquí teneis el verdadero comic de Chrome.

Un saludo
Publicado por Asfasfos 0 comentarios
Etiquetas:

Las 24 horas del Chromans...

miércoles 3 de septiembre de 2008
Dios!!! 24 horas y ya se han encontrado 2 vulnerabilidades para chrome. Si google si, no mires para otro lado, que esta vez te ha tocado a ti jaja!!! Por ahora te lo perdonamos porque es una beta (esperemos que no sea por mucho tiempo mas) pero la verdad es que dan ganas de dejar de probarlo tras ver los fallos que han tenido...

Empecemos por el primero que se ha sacado a la luz, la vulnerabilidad consiste en que el webkit que usa google para las descargas automáticas, pues nunca mejor dicho funciona genial, como que te descarga automaticamente archivos cuando navegas por una página maliciosa. Podeis ver la prueba de concepto, si lo probais en un mozilla podreis ver que os pide descargar el software en gestión mientras que si lo probais en chrome comprobareis que lo descarga directamente sin preguntar nada de nada. Curioso, ¿no?

Vamos con la segunda vulnerabilidad, cuando visitamos un link malicioso el cual tiene un caracter especial el pobre chrome peta con el siguiente error:



Encima con cachondeo, ¡¡Vaya!!, y por que no ponemos un "¡¡Caspitas!! o ¡¡Recorcholis!! Chrome todavía es una beta, si a usted no le importa reiniciar pulse aceptar, y si le importa pues pulse cancelar pero el resultado va a ser el mismo".

Venga venga, todos al blog de Chema a spamear y hablar del tema, GOGOGOGO!!!
Publicado por Asfasfos 2 comentarios
Etiquetas:

Google Chrome ya está aqui!!!

Gua gua gua, aquí está el nuevo Google Chrome, tu y yo lo sabiamos que iba a ser 3, 2 o 1!!! Aquí viene el nuevo navegador, el campeón de los campeones, la élite de los navegadores donde solo unos pocos pueden pelear por el liderato. IE8, Firefox 3, Google Chrome, ¿quién ganará?

Para empezar, google Chrome tendrá que cumplir con los estandares, para ello tenemos una aplicación que nos comprueba si realmente el navegador es compatible con todo tipo de formatos. En este test ha conseguido 78 puntos de los 100 posibles, mientras que firefox 3.0 tiene 61 puntos, el Opera 9.5 tiene 60 puntos, el Safari 40 puntos y el Internet Explorer 7 mejor no nombrarlo :).

Algunos han dicho que este navegador no va a proliferar, que viniendo de google fijo que se queda en una beta, (¿cuantos años lleva en beta google news? 5? xDDD). O que es muy difícil meterse en este mundo de los navegadores donde ya hay 2 o 3 instaurados en todos los sitios. Algunos ya se están entrenando para no caer en las garras del enemigo.

No me he de olvidar que este release no le viene nada bien a firefox, google ha estado apoyando a firefox hasta el día de hoy, pero ahora que ya tiene su propio navegador...¿cual será su política? Muahahah!!! Pronto lo sabremos :)

Ah, no os perdais que el Chrome tiene hasta comic y todo!!! (que por cierto vaya tostón de comic, si parece casi una novela)

Bueno, a probar el Chrome se ha dicho :)
Publicado por Asfasfos 0 comentarios
Etiquetas:
Suscribirse a: Entradas (Atom)