- Otras noticias
Alertan de un virus que invita a ver el final de la última entrega de Harry Potter
Los ciber-policias empiezan a patrullar en Internet.jpg)
La Asociaciación de Internautas advierte del creciente fraude por 'phishing' ante el retorno de las vacaciones
Importantes vulnerabilidades en Kerberos 5 del MIT
Vulnerabilidad en los kernel Linux
SCO habilita una dirección alternativa en Internet, tras verse obligada a cerrar la oficial por el ataque de 'Mydoom'
Se fuga el autor de un millonario fraude en redes VoIP
El Spam y el Phising no descansan en vacaciones
¿Ha sido roto el captcha de Gmail?
Un joven de Los Ángeles se declara culpable de haber infectado 250.000 ordenadores
- En el foro
-
vulnerabilidades
Vulnerabilidad en autenticación no encriptada
10 Sep 2007 | VS ANTIVIRUS
Algunos sitios Web transmiten esta autenticación sin ninguna clase de cifrado durante la sesión entera, aún cuando éstas son iniciadas sobre una sesión HTTP encriptada.
Este comportamiento, podría permitir a un atacante en la red, usurpar las credenciales de un usuario legítimo.
Sitios que aplican cookies de autenticación sobre un inicio de sesión HTTPS (protocolo seguro), y luego transmiten las cookies sobre HTTP (protocolo no seguro), son particularmente vulnerables, puesto que es más probable que los usuarios piensen que la seguridad de la página a la que están conectados se aplica a toda la sesión.
Las cookies HTTP son textos que envía el servidor Web al navegador. Las cookies se transmiten después al servidor cuando el navegador tiene acceso al sitio Web.
Algunos sitios pueden autenticar a un usuario con un nombre y contraseña y crear una cookie con un identificador único, para responder a las futuras peticiones de autenticación.
Para aumentar la seguridad, el sitio Web puede borrar la cookie cuando el usuario abandona la sesión habilitando el atributo opcional "Secure" en el cabezal de respuesta "Set-Cookie", o haciendo que la cookie expire después de un tiempo específico.
Barras de herramientas o extensiones utilizadas por los navegadores, pueden también enviar credenciales de autenticación (cookies) a los sitios o servicios Web.
Sitios que utilizan cookies para autenticación sobre protocolos de texto plano tales como HTTP, son vulnerables a que ésta autenticación sea interceptada, simplemente accediendo al tráfico que transporta a la cookie.
Luego de ello, el atacante podría utilizarla como credencial de autenticación, tomando cualquier clase de acción en el sitio Web, como si se tratara del propio usuario. Son afectados especialmente aquellos sitios que ofrecen un software como servicio.
El cifrado nulo es una opción válida al usar HTTPS, de acuerdo a las especificaciones originales del SSL (Secure Socket Layer, la tecnología que utiliza criptografía para cifrar los datos que se intercambian con un servidor seguro).
Para minimizar los riesgos, se aconseja al usuario que inicia sesión en una dirección HTTPS://, observar que la misma se mantenga así y no cambie a HTTP:// mientras se navega.
También es aconsejable al abandonar una sesión, utilizar la opción correspondiente en el sitio Web, y no solo cerrar la ventana o acceder a otra dirección (sitio) de Internet. Esto disminuye las posibilidades de que un atacante obtenga las credenciales del usuario y explote la vulnerabilidad.
Algunos sitios actualmente vulnerables:-
Google
-
Microsoft Corporation
-
Yahoo
Sitios probablemente vulnerables:
-
eBay
-
MySpace.com
Tenga en cuenta que cualquier otro sitio que utilice usuario y contraseña para ofrecerle alguna clase de servicio podría ser vulnerable.
-
- Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar cursos y másters
