Sobre la vulnerabilidad en firefox (y otros…)
Se ha creado demasiada parafernalia con respecto la ultima vunerabilidad encontrada en firefox (la cual tambien afecta a otros navegadores por cierto)… si no me creen, vean este comentario en bugzilla.mozilla.org sobre el caso.
Sin embargo creo que se ha sobredimensionado el caso.
En primer lugar el hacer bulla sobre un bug en firefox es cuando menos, mala leche, ya que no solo “afecta” a este navegador sino a otros mas como ya dije. Aunque es natural, ya que firefox se ha hecho de una muy buena reputacion de ser un navegador seguro, y una vulnerabilidad asi es gran noticia.
En segunda, entrecomillo “afecta” porque no es exactamente una vulnerabilidad, aunque si es algo que debe ser repensado. Me explico.
Por diseño, cuando llenas una forma de usuario y contraseña, firefox te pide guardar estos datos para que no tengas que escribirlos de nuevo. Si aceptas, este guardara los datos usando como llave el dominio del que provienen. Es decir si entras a hotmail.com y aceptas guardar los datos, firefox los guardara de la forma (burdamente hablando)
<p>hotmail.com:usuario:contraseña </p>Asi, cuando entras nuevamente a hotmail.com, firefox escribira los datos que proporcionaste. Estos datos podran ser accedidos via script (o forma html), como es de esperarse.
<p>
El problema viene cuando no puedes confiar en el contenido del sitio del que proviene la forma. El ejemplo mas usado es myspace. En myspace puedes introducir el codigo html que tu desees. Y si guardaste tu contraseña y un usuario malicioso produce una forma igual a la del login original de myspace, los campos se llenaran automaticamente, dejando expuesto a que se te pueda robar tu contraseña, aunque SOLAMENTE PODRA TOMAR LA CONTRASEí‘A DE ESE SITIO. No podra robar tu contraseña de banco, correo o alguna otra. Y recalco esto ultimo porque creo que hay un poco de confusion al respecto. Bajo este vulnerabilidad un sitio solo podria robar la contraseña perteneciente a si mismo… lo cual no es un problema excepto para sitios en los que no puedes confiar o de contenido generado por otros usuarios.
Resumiendo, solo es una vunerabilidad si :
- Guardas las contraseñas
- Hay contenido no confiable
- Te importa que sitio.com pueda obtener tu contraseña de sitio.com (la cual en la mayoria de los casos, ya tiene porque tu se la diste
)
Asi que bajenle la espuma a su chocolate. No es para tanto, no es para cambiar de navegador (porque firefox no es el unico en donde se ha encontrado) ni para desgarrarse las vestiduras. Si es algo que debe repensarse y en su caso arreglarse.
Mientras mas usado sea el software libre (y firefox en especifico) mas de estos detalles se encontraran, lo cual es bueno. Mientras mas pronto se encuentren mas rapido se arreglarán. Pero dejemos de lado el sensacionalismo, que a nadie le hace bien.
Si deseas contactarme puedes hacerlo en contacto@masio.com.mx o deja comentario en alguna de las entradas del blog. Tambien me encuentras en twitter en 
o deja comentario en alguna de las entradas del blog. Tambien me encuentras en twitter en
paranoid android
23 Nov, 2006
El problema viene de todos esos que usan el mismo user y el mismo pass para todos sus sitios. Ahi se los abrochan!!!
Masiosare
23 Nov, 2006
Ciertamente mi querido watson. Yo por eso apunto todos mis passwords en un post-it y lo pongo bajo mi teclado!
Nicolás
25 Nov, 2006
Mejor no lo podrÃa decir. Basta de ‘darle color’ con los problemas de Firefox. Yo lo probé en IE7 y es vulnerable. De IE6 ni hablar. Incluso lo probé con el superaclamado Opera 9.10 (mi segundo navegador por cierto, y muy bueno) y en un caso si bien la página no muestra los datos, sà aparecen en la barra de direcciones, dejando a la vista los datos. Se hace mucho sensacionalismo con Firefox, pero de forma negativa, no constructiva. Hay que hablar más parejo y de todos no solo de Firefox. Lo que pasa es que alguien lo lee en Kriptópolis o similar y aparece desparramado por todos lados. Al Opera si le pones la Url con 3 barras en lugar de 2 (http:///www.pagina.com) empieza a consumir chorradas de memoria. Todos tienen fallos, Firefox está en la mira ahora y van a seguir viniendo más fallos. Me parece buena la respuesta frente a los problemas de seguridad por parte de la comunidad, comparando con la respuesta que puede (o quiere) ofrecer Microsoft. Estos últimos demoran mucho más en responder