- Noticias relacionadas
La lista de los 10 mejores programas libres17 Sep 2004
Firefox 1.0 PR disponible16 Sep 2004
Agujero de seguridad en Mozilla09 Jul 2004.jpg)
Mozilla crece gracias a los problemas del Explorer03 Jul 2004
- Otras noticias
Santiago de Chile acoge la reunión de comunidades de software libre
La revista Linux Magazine define las 20 empresas que serán claves en 2007
OpenLiberty.org lanza un software de código abierto para mejora la seguridad y la privacidad en la red
Comienza el I Concurso Universitario de Software Libre
La Junta de Extremadura impartirá cursos a los agricultores a través del Linex en los Institutos de Secundaria.jpg)
Nace Niagara, el chip open source de Sun
Linus Torvalds y Richard Stallmann participarán en el I Congreso Software Libre de Valencia.jpg)
El gobierno brasileño impulsa el uso de un software gratuito
Crean una impresora 3D con software libre capaz de autoreplicarse
La compañía aérea Spainair migra a Linux
- En el foro
-
bugzilla
El navegador Firefox facilita técnicas de phising
02 Ago 2004 | VS ANTIVIRUS.jpg)
Para ello se puede utilizar XUL, un lenguaje basado en XML con el que el propio Firefox construye sus menús, botones, cajas de diálogo y la mayoría de los elementos que conforman su verdadera interfase UI.
Las implicancias de seguridad de este truco ya fueron consideradas en 1999, en un reporte de Mozilla.org (Mozilla Bug 22183, bugzilla.mozilla.org/show_bug.cgi?id=22183).
Sin embargo, la Mozilla Foundation mantuvo este fallo oculto hasta que recientemente un investigador lo hizo público mediante una demostración que simula una entrada al sitio de pagos en Internet, PayPal (www.nd.edu/~jsmith30/xul/test/spoof.html).
La demostración toma ventajas del hecho que el navegador Mozilla Firefox está diseñado para interpretar en todo momento las aplicaciones Web escritas en XUL.
La interfase entera de Firefox está contenida en un archivo XUL no mayor de 70 Kb (/chrome/browser.jar!content/browser/browser.xul). Lo sorprendente es que con muy pocas modificaciones, ese mismo archivo puede convertirse en una aplicación Web maliciosa.
En la demostración se ha modificado la barra de direcciones para que siempre muestre la dirección "https:/ /www .paypal .com/" y la barra de estado el candado que indica la seguridad SSL. Adicionalmente, un código en Javascript hace que una ventana con información de seguridad falsa (incluido un certificado que simula ser legítimo), aparezca cuando se hace doble clic sobre el icono del candado.
Aunque algunas de las características de la falsa interfase son difíciles de modificar, como la barra de herramientas personalizada, menú de señaladores --bookmarks--, etc., un programador malicioso con tiempo y habilidad, podría conseguir aplicar otras características falsas.
El truco puede implementarse engañando al usuario para que visite un determinado sitio, o por medio de un mensaje electrónico que lo lleve a ingresar sus datos confidenciales (comercio electrónico, tarjeta de crédito, transacciones bancarias, etc.). Existen miles de ejemplos de estas técnicas de "pishing" (recibe este nombre toda técnica utilizada para obtener información confidencial, suplantando mediante engaños al usuario o sitio original).
Los desarrolladores de Mozilla están buscando algún método que haga que una falsificación de este tipo sea notoria para el usuario. La solución más probable podría ser que la barra de estado fuera forzada a quedar siempre visible, como Microsoft hará con el próximo Service Pack 2 del Internet Explorer 6.
Más información
Bugzilla Bug 22183
bugzilla.mozilla.org/show_bug.cgi?id=22183
Bugzilla Bug 252198
bugzilla.mozilla.org/show_bug.cgi?id=252198
Bugzilla Bug 252811
bugzilla.mozilla.org/show_bug.cgi?id=252811
Spoof (demostración)
www.nd.edu/~jsmith30/xul/test/spoof.html - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- Publicidad
- Ahora en LaFlecha puedes encontrar cursos y másters
Y yo que seguía a pie juntillas lo que decían los linuxeros y fanaticos del software libre que no habrían problemas de seguridad, ni virus, ni engaños, solo total y absoluta seguridad.
Si alguien te dijo que un software (cualquier software) no tiene fallos de seguridad te engañó. No deberías creerte las cosas sin pensarlas.
Por supuesto que software libre tiene fallos, está creado por seres humanos y no es perfecto.
Pero obviamente es mucho más seguro que el software propietario.
Y digo más seguro, no que no tenga fallos. Porque eso amigo, es sencillamente imposible.
Por cierto, por favor: interfaZ e interfaCes, no interfase e interfases (que son cosas muy distintas).
son pardes vasuras escribirn do estos
son pardes vasuras escribirn do estos
traduce eso por favor?
sera basuras, no?
No quiero parecer un forofo de Mocosoft, pero fallos, como dice ejem, tiene tantos linux como Microsoft solo es cuestión de estadísticas. Microsoft está mas extendido solo que nos quita la posibilidad de ver su codigo para intentar repararlo o adaptarlo a nuestras necesidades a diferencia de el soft GNU pero BUGS tienen TODOS.
Recordad: Los caminos de Microsoft son inescrutables.
Respondiendo a Nemesys:
En efecto, bugs tiene tantos Linux como Windows. Pero hay una diferencia abismal: Si un programador encuentra un fallo de seguridad, él mismo puede corregirlo y proponer una solución, ya que puede ver el código fuente (los planos de como está hecho) y ver donde falla. Sin embargo, con Microsoft, solo pueden ser ellos los que lo arreglen, y hay casos en los que han tardado incluso meses o años en solucionar algunos de esos fallos.
Realmente alguien cree que si un programador encuentra un fallo lo puede arreglar en todo el parque de equipos con el sistema operativo ya instalado ?.
No me gusta como trabaja microsoft, pero linux no es la panacea.
"Por cierto, por favor: interfaZ e interfaCes, no interfase e interfases (que son cosas muy distintas)."
OK, pero es:
la interfaz, y las interfaces
o
el interfaz, y los interfaces
???
Los fallos de seguridad que permiten que los piratas informaticos actuen no tienen nada que ver con los programas de codigo abierto o codogo cerrado , todos tienen fallos , si no con sinverguenzas que aprovechan cualquier resquicio en la seguridad para atacar .
El problema de los programas de codigo abierto es que por su propia filosofia permiten mas facilmente que individuos sin escrupulos los estudien y modifiquen a su gusto .
Si ademas de ser de codigo abierto es gratuito
al haber montones de gente que utilizaran esos programas los problemas con la seguridad se multiplican. Pero repito eso no significa que los programas de codigo abierto sen mas inseguros por si mismos ni que no sea muy de agradecer la existencia de programas gratuitos
sin los cuales muchos de los que utilizamos el ordenador no podriamos tener acceso a montones de utilidades
la interfaz, y las interfaces o el interfaz, y los interfaces
DA LO MISMO OK.
desde mi punto de vista la demostración toma ventajas del hecho que el navegador
libre expresion me parece muy bien
La verdad, la discusión entre linux y windows es una de tontos, a cada usuario le será util un sistema operativo diferente, a veces uno a medida, el que diga que windows no se puede modificar ...mmmm....sabe poco.- los dejo con sus interesantisimas discusiones de como seria la forma correcta de escribir la interfaz y demás, saludos y lean mas.
Se ha pasado de la seguridad de FireFox a WinVsLin , pero como bien han dicho, que cada uno utilice lo que necesite,en empresa el standart de win ofrece un problema para implantar lin, ya que aun que openoffice sea compatible, siempre existen problemas con las ultimas versiones y los usuarios finales hacen cursillos de office, o la facilidad muchisima con 4 clicks instala un exchange, pero una plataforma sendamil-qpoper-ldap no es tan sencillo.Yo usuario de linux, opino que linux es un sistema mas estable, pero montar una pequeña mediana red con 2000 esta tirado. En cuanto a lo del software libre, es imposible comparar una plantilla de 50 trabajadores contra millones de peronas.
sabes amigos quisiera q me ayuden a recuperar mi contraseña de una forma q el cracker no se de cuenta. gracias amigos . es muy interesante saber de la gran ayuda de esta pagina okis .
hola como esta