Firefox 3: 24 horas, 8Millones de descargas, 1 bug

Posted by myself - 19/06/08 at 10:06:31 am

Luego de leer la gran noticia de que Firefox 3 alcanzó y superó la suma de 8 millones de descargas en las primeras 24 horas de lanzamiento, me encuentro con que con la misma rápidez con la que fue descargado, fue encontrado un bug.

El bug reportado, que permite inyectar código malicioso, pareció a las 5 horas del lanzamiento. Otro bug, que realmente considero el primero, ocasiona un desbordamiento de buffer y también fue reportado dentro de las primeras 24 horas.

Las razones saltan a la vista: el bug que permite inyectar código malicioso también afecta a FF2. Es por eso que tiendo a creer que fue, deliveradamente esperado para reportarlo y así hacer algo de fama con él. El segundo bug, es uno común, yo no lo declararía sino como algo curioso : )

Moraleja: Llámese IE, Firefox u Ópera, la velocidad con la que trabajan los desarrolladores de código malicioso es mayor cada día, así que nosotros como usuarios no podemos esperar un producto sin riesgos.

Por si les interesan mis impresiones adicionales sobre FF y lo que espero que todo suceda a partir de ahora en más:

Supongo que lo que garantiza la relevancia de esto no es en sí, las 8MM de descargas -que se agradecen. Pero realmente yo consideraría más el número de personas que finalmente adoptan al FF3 como navegador por defecto.

Cabe destacar que algunos cambios no son bien vistos. El botón de goNext (ir a la página siguiente), el menú de Historial y su nuevo administrador, aparte de las extensiones que no funcionan, son cosas que desaniman a primera vista, por lo que 8MM de descargas pueden terminar en 2MM de usuarios, por poner un ejemplo.

De todas maneras, es bueno ver la capacidad de crear expectativa por parte de FF. Significa que es considerado una buena alternativa por muchos. Siendo algo que al menos, algo que vale la pena probar por sus referencias y eso abre muchas puertas a este tipo de proyectos.

^^

La discusión queda abierta aquí y en casa de Nico ^^

A ver qué opinan… (Sobre todo María Inés que eres la única que problablemente lea esto)*

*Se que alguien más puede y seguramente leerá los contenidos de bsod. Cada lector y visitante es apreciado y respetado. Bienvenidos sean, pero por amor a Dios: Comenten cuando pasen por aquí. :-)

MeetYourMessenger: Otro sitio en el que confiar

Posted by myself - 13/05/08 at 09:05:00 am

Revisar el correo siempre se vuelve una tarea llena de nuevas e interesantes aventuras. Un contacto ha enviado un correo bien particular. Comienza diciendo:

miguel te ha invitado

From: MeetYourMessenger (no-reply@meetyourmessenger.com)

  • Razón número uno para confiar en MeetYourMessenger:

No conozco a ningún Miguel. Y aunque lo conociera, no aparece su correo por ningún lado.

  • Razón dos para confiar en MeetYourMessenger:

El correo termina diciendo:

Un cordial saludo
MeetYourMessenger.com.ve

A. Seguro no lo notaron, pero en lo que va de este post, MeetYourMessenger tiene dos dominios diferentes:

meetyourmessenger.com, meetyourmessenger.com.ve

B. Ahora mira la imagen cuidadosamente (Figura I):

Figura I. Página principal de MeetYourMessenger.com.ve

El correo dice que meetyourmessenger es para Venezuela. He marcado con rojo los puntos llamativos del sitio:

B1. Venezuela

B2. Nascimento

B3. Condiciones

B4. Acepto el envío de correos

Conclusión:

B1 y B2 se relacionan porque en Venezuela no hablamos portugués. No hasta donde yo se.

B3 Me lleva a un vínculo (Razón III, Figura II)

B4 No lo aceptaría aunque fuese un sitio de esos no confiables.

  • Razón tercera para confiar en MeetYourMessenger:

Figura II. Página de Condiciones de MeetYourMessenger.com.ve

Esta razón salta a la vista:

No hablamos portugués, tampoco inglés. Para los que no sabemos inglés, entonces las condiciones se vuelven un problema. Subrayo lo que deberíamos poder leer siempre:

Please note, that by signing up for MeetYourMessenger and accepting these Terms you acknowledge that an invitation e-mail is sent to your messenger contacts in order to connect all your contacts to your network at MeetYourMessenger. We use your messenger e-mail and password to do this at the moment of your sign up. Afterwards your password will be deleted.

En español -traducción libre:

Nota que al registrarte en MeetYourMessenger y aceptando estos Términos, reconoces que un correo de invitación será enviado a todos tus contactos de Messenger para así conectar todos tus contactos a tu red en MeetYourMessenger. Usamos tu cuenta de correo y clave al momento en que te registras. Luego, tu contraseña será borrada.

¿No les suena famiar? No almacenan contraseñas. También es bastante poco intrusivo: Sólo envía un correo a todos tus contactos.

  • Razón cuarta para confiar en MeetYourMessenger:

La privacidad es importante.

Figura III. Página de Privacidad de MeetYourMessenger.com.ve

De nuevo, aparece la página en inglés. Y el vínculo a las preguntas más frecuentes (Por mala suerte tiene un error, ver Figura IV)

Citando las partes subrayadas:

User Provided Information: You provide certain personally identifiable information (such as your name and email address) to MeetYourMessenger when choosing to participate in various activities on MeetYourMessenger such as uploading pictures, posting articles in The MYM Times, answering questions, entering contests or sweepstakes, taking advantage of promotions, responding to surveys, or subscribing to newsletters or other mailing lists. MeetYourMessenger collects such user submitted information (e.g. name, email address, and age) to authenticate users and to send notifications to those users relating to the MeetYourMessenger service. MeetYourMessenger also collects other profile data including but not limited to: personal interests, gender, age, education and occupation in order to assist users in finding and communicating with each other.

Log File Information: When you use the MeetYourMessenger Sites, our servers automatically record certain information that your web browser sends whenever you visit any website. These server logs may include information such as your web request, Internet Protocol (”IP”) address, browser type, browser language, referring / exit pages and URLs, platform type, number of clicks, domain names, landing pages, pages viewed and the order of those pages, the amount of time spent on particular pages, the date and time of your request, and one or more cookies that may uniquely identify your browser.

…..

(2) We may also use a user´s email address and profile information to send updates, a newsletter or news regarding the service. These emails may contain advertisement and marketing messages for third parties. Users may choose not to receive email of this type by going to “My Profile” and setting the “Do not send me notification emails” function.

(3) We use both your personally identifiable information and certain non-personally-identifiable information (such as anonymous User usage data, cookies, IP addresses, browser type, clickstream data, etc.) to improve the quality and design of MeetYourMessenger and to create new features, promotions, functionality, and services by storing, tracking, and analyzing user preferences and trends. The information may also be used to personalize your profile and the information that you are given, while using MeetYourMessenger.

(4) We use cookies, clear gifs, and log file information to the following purposes:

  • Remember information so that you will not have to re-enter it during your visit or the next time you visit the MeetYourMessenger.
  • Provide custom, personalized content and information
  • Monitor the effectiveness of our marketing campaigns…

Básicamente, MYM puede y usará mi correo para enviar publicidad y encuestas. Almacenará registros de mis visitas, registros personales, de navegación y cookies, para “mejorar el servicio”. Por eso es que se confía en un sitio así.

  • Quinta razón para confiar en MeetYourMessenger:

La página de preguntas frecuentes. Una joya. En inglés y lo más llamativo es que luego de encontrar la página correcta a las faq’s (preguntas más frecuentes), ocurre esto:

Figura IV. Página de FAQ’s: Activa alerta de Nod32

Se activa una ventana de Nod32. Fastidioso Nod .

  • Finalmente, ¿Pagamos? (Sexta Razón)

Figura V. Página de FAQ’s de MeetYourMessenger.com.ve

Y, si no lo notaron, MeetMyMessenger tiene al menos 4 dominios.

meetyourmessenger.com.ve, meetyourmessenger.com, meetyourmessenger.biz y meetyourmessenger.tk

A confiar : )

(Nota: Antes que confíen, noten que fui bastante irónico al usar la palabra “confiar”)

Niños y las nuevas tecnologías: Internet

Posted by myself - 03/09/07 at 07:09:26 pm

Creo que ya nadie se asombra al ver a un niño de 3 años en la PC de su papá. Ni mucho menos, cuando éste es capaz de comprar un auto en eBay.

 

Un reciente estudio, parece indicar que los niños son pseudo-geeks. Sin embargo, no están ajenos a los problemas que las nuevas tecnologías -tecnologías a las que ellos están acostumbrados- suelen brindar.

Pero, los diginiños no son geeks: el 59% de los chicos entre 8 y 14 años de edad, todavía prefieren la televisión a la computadora y sólo el 20% de jóvenes entre 14 y 24 años de edad admite estar interesado en la tecnología. 

 

Sin embargo, creo que el 80% de los niños de hoy en día, se mueven frente a una computadora, como si fuera algo que usan todos los días aunque la estén usando por primera vez. Así, que aunque intenten darle otro nombre, un diginiño, es un geek pequeñito en potencia ; )

Al adaptarse más fácilmente a estas tecnologías, tienen acceso a muchas más cosas que usuarios de mayor edad (que a duras penas pueden encender el computador) y es esta diferencia de conocimiento lo que preocupa a muchos padres -que al desconocer el mecanismo de la red se ven obligados a recurrir a herramientas de terceros para paliar algunos riesgos a los que los niños se encuentran sometidos cuando usan cada nueva tecnología, como por ejemplo, la red.

Traigo el tema a colación, porque he estado notando un crecimiento en los artículos que mencionan a los niños y la tecnología y la preocupación por parte de los padres a la hora de controlar este nuevo entorno. Siempre he creído que la educación familiar es más importante que cualquier otra cosa y no debe dejarse la seguridad en manos de terceros tan a la ligera.

Sin embargo, entre las notas que he leído, encuentro un par de posts que pueden ayudar a más de uno:

[ SpamLoco: Hijos e internet, estrategias para mantenerlos a salvo ]

[ ZonaFirefox: Glubble :: Firefox para toda la familia

 

Tampoco es pornografía, pero como menea…

Posted by nico - 27/07/07 at 11:07:24 am

Tengo un portátil HP Pavilion 1GB RAM, 3GHz
y uso las siguientes extensiones:

Adblock Filterset.G Updater
Adblock Plus
Gmail Manager
Live HTTP Headers
Modify Headers
Tempomail
Web Developer

tengo más de 130 bookmarks, 6 buscadores y suelo tener abiertas 12 webs
y el resultado final: :) ” (clic para ampliar)


Más de 130 marcadores, 6 buscadores, y suelo tener abiertas 12 webs…

“…y el resultado final: :)

FAST2.EXE Removal

http://www.securitystronghold.com/gates/fast-defrag.html

-.-

http://meneame.net/story/firefox-ligero#comment-18

No es pornografía… Pero tampoco se lo que es

Posted by myself - 27/07/07 at 10:07:35 am

Dejando fuera las controversias que ha causado una vulnerabilidad en Firefox (sabiamente explicada en Vagabundia) recientemente y por supuesto, la falta de actualización de este respetable sitio, procedo a enviar un mensaje de paz y armonía.

http://www.youtube.com/watch?v=RnmBaWy4DJo

 

http://www.youtube.com/watch?v=p2BP0ceOZ58

http://www.youtube.com/watch?v=jHjFxJVeCQs

 

Sin comentarios -a menos que alguien los inyecte vía XSS- 

Greasemonkey para Firefox: Cuidado con algunos scripts

Posted by myself - 10/07/07 at 09:07:21 pm

Leo en Vagabundia, que uno o varios scripts de Greasemonkey están siendo utilizados para robar cookies. La única solución hasta el momento consiste en :

Haciendo click con el botón derecho sobre el ícono en la barra de Firefox y elegimos Administrar scripts. En la ventana que se abre, seleccionamos en la lista de la izquierda la que queremos verificar y hacemos click en el botón Editar.

 

Seleccionar las extensiones descargadas recientemente y verificar que el texto

.php?cookie=

encodeURIComponent(document.cookie)

no aparezca. De hacerlo, desactivar o desinstalar el script en conjunto con las preferencias asociadas.

 Más [ Vagabundia (blogspot): Cuidado con Greasemonkey ]

MPack 0.9 Toolkit

Posted by myself - 20/06/07 at 09:06:49 am

MPack 0.9  es un conjunto de herramientas que permite ejecutar exploits en servidores web con soporte PHP.  Últimamente se ha utilizado para convertir sitios legítimos en sitios que permiten la descarga de código malicioso.

El programa permite explotar vulnerabilidades en Internet Explorer y Firefox para Windows y utiliza la etiqueta <IFRAME> para hacer uso de las vulnerabilidades.

Se dice que puede accederse a algunos sitios comprometidos al realizar alguna de las siguientes búsquedas:

  • atlas mountains country (WebAttacker 2 or MPack)
  • rotweiller rescue
  • North Padre Island (WebAttacker 2 or Mpack)
  • arches national park (WebAttacker 2 or MPack)
  • canyonlands national park
  • mass lottery
  • air disasters in Florida (WebAttacker 2)
  • cd key windows xp profesional
  • batmobile for sale
  • victoria's secret (fake codec)
  • pokemon ruby gamesharks
  • blue book (mdac exploit)
  • IBM stock
  • pallet fire
  • Nigerian economic and financial crimes
  • who's a rat

Algunas sugerencias para evitar ser víctimas de este tipo de ataques incluyen:

  1.  Mantener las aplicaciones actualizadas: principalmente navegadores con sus respectivos plugins. Un antivirus al día, también es importante. 
  2. Navegar siempre como usuario con permisos limitados (Ver más aquí)
  3. Utilizar extensiones para Firefox como LinkScanner y Phishtank

Más [ Alerta-Antivirus : MPACK.0.9 ]

Más [ News.com : Dangerous Web sites, strings attached ]

 

Safari para Windows -Múltiples vulnerabilidades

Posted by myself - 13/06/07 at 05:06:31 pm

Muchos ya se habrán enterado que el popular navegador de Apple acaba de migrar a Windows. Justo ahora se encuentra en fase beta -razón por la que recomiendo a todos mantenerse tan lejos como sea posible-.

En su presentación, se dijo que era bastante seguro. Sin embargo, un grupo de investigadores demostró que tiene al menos seis bugs (4 que permiten ataques DoS y 2 que permiten ejecución de código arbitrario).

¿La causa? 

Safari fue inicialmente diseñado para integrarse perfectamente con OS X, pero al migrar, dejaron unas cosas tal como estaban y no tomaron en cuenta implementar algunas directrices de manejo de protocolos específicas de Windows".  

He pointed out that Safari was originally designed for tight integration with OS X, but "the breadth of knowledge is crippled when the software is released on other systems and mistakes and mishaps occur." When Apple released Safari for Windows, he noted, the company neglected to implement Windows-specific URL protocol handlers. The result is that a malicious user can "break out of the intended confines and wreak havoc."

 

Una total irresponsabilidad, ¿no lo creen? 

 

Más [ FliyingHamster : Security Experts: Safari for Windows Is Full of Bugs ]

Más [ TopTechNews : Security Experts: Safari for Windows Is Full of Bugs ]

 

¿Se supone que un navegador puede colgarse cuando visita una página web?

Posted by myself - 23/05/07 at 09:05:24 am

IE 7 lo logra en sitios normales. Nada de DDoS, nada de Buffer Overflow, nada de nada. Él solito lo hace.

 

Sin embargo, también tiene solución. Es un error en una llave de registro.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\UseCoInstall

http://support.microsoft.com/default.aspx/kb/935544

 

Nuevas vulnerabilidades críticas en IE y Firefox

Posted by myself - 01/05/07 at 04:05:33 am

Internet Explorer 7.0.5730.11 y Mozilla Firefox 2.0.0.3   han probado ser vulnerables a un ataque que permitiría realizar Cross-site Scripting (XSS), alterar el contenido de un sitio web e inclusive, secuestrar páginas con la información del usuario (robo de identidad).

La vulnerabilidad, se ejecuta cuando ocurre una autenticación codificada, en la que las contraseñas son encriptadas antes de ser enviadas al servidor que las solicita.

El navegador Safari también es vulnerable.

 

El ataque Http Request Splitting también había sido previamente descrito para Flash.

Al momento de escribir este post, no he encontrado una respuesta que defina soluciones a esta vulnerabilidad. Encontré más bien, la historia de IE.

Más [ VSAntivirus : IE 7 y Firefox propensos a ataques en autenticación ]

Descripción Técnica [ Bugtraq: IE 7 and Firefox Browsers Digest Authentication Request Splitting ]

 

Powered by WordPress with GimpStyle Theme design by Horacio Bella.
Entries and comments feeds. Valid XHTML and CSS.

Clicky Web Analytics