ZonaFirefox: Ganador del Concurso de Promoción de Extensiones de Mozilla
Posted by myself - 17/04/07 at 03:04:12 pm… Bueno, me hubiese gustado mucho comenzar con ese título y todo, pero no será así.
Mozilla ha anunciado a los ganadores del Concurso de Promoción de Extensiones de Mozilla y ZonaFirefox NO ha ganado. Es una pena, sí.
Una real pena, considerando que ZonaFirefox y FirefoXtensions fueron -y son- los mayores representantes de Firefox en el mundo hispano. Sin embargo, no me queda más que apoyarles en sus labores de educación firefoxera.
Nos han representado muy bien. Y para mí, han ganado.
Posible Vulnerabilidad en Firefox-Opera : IFRAME - OBJECT
Posted by myself - 26/03/07 at 12:03:03 pmNico, de ZonaFirefox me escribe que ha encontrado un fallo de seguridad en Firefox y Opera. Una vulnerabilidad -aparentemente no descrita- o, si ha sido descrita, no resuelta para Firefox y Opera que permite el salto del filtro antiphishing mediante el uso de un script o mediante el uso de las etiquetas iframe.
El script en cuestión es:
function framejack(url) {var ifr = document.createElement('iframe');ifr.src= url;
document.body.scroll = 'no';document.body.appendChild(ifr);
ifr.style.position = 'absolute';ifr.style.width = ifr.style.height = '100%';ifr.style.top = ifr.style.left = ifr.style.border = 0;}
Analizando un poco, se trata simplemente de un script que permite insertar una página dentro de otra a 100% del ancho y largo de la ventana.
Peor aún, usando la etiqueta IFRAME se logra similar efecto: Los filtros antiphishing ni los Addons antiphishing (Phishtank Sitechecker, McAfee SiteAdvisor, Google Toolbar) detectan los sitios alterados (PRUEBA1 - PRUEBA2 - SitioMalicioso).
Yendo más allá, me puse a investigar sobre el uso de la etiqueta OBJECT para insertar una página web usando CSS para lograr que ocupe todo el tamaño de la ventana. Opera y Firefox mostraron el sitio web malicioso sin mostrar advertencia, y las pruebas manuales de verificación resultaron igual de infructuosas.
El código que utilicé fue:
<object type="text/html" classid="http://webmail.interhk.net/B05002/index.htm" data="http://webmail.interhk.net/B05002/index.htm"></object>
Y puede ser probado en este vínculo.
Internet Explorer 7 es el único navegador aparentemente invulnerable al uso de etiquetas IFRAME y OBJECT para mostrar un sitio malicioso. En el caso de OBJECT, IE7 parece no dar soporte a la carga de una página web dentro de esta etiqueta, razón por la cual no carga la página.
Se trata de dos etiquetas básicas de HTML -yo no probé el uso de un script para demostrar que OBJECT también puede ser utilizado de esta manera- que permiten saltar los filtros antiphishing de manera más sencilla y peligrosa que lo expuesto por Zalewsky anteriormente al utilizar una imagen que hace las veces de barra de direcciones.
En ZonaFirefox :
Como burlar el filtro antiphishing con Javascript
Como burlar el filtro antiphishing con un simple IFRAME
Haganle caso a Nico -que él sabe de lo que habla
Posted by myself - 23/03/07 at 01:03:03 pmY Nico dijo:
Hay extensiones que pueden no ser seguras. Otras que aportan más seguridad. Pero las extensiones estan construidas en base al navegador. Son hojas, ramas del tronco. Sobre la base de un buen navegador uno puede desarrollar extensiones tranquilamente.
Repito, una extensión de Firefox nos salva de que nos roben el historial. Es el único navegador que se salva de este caso.
PD: Incluso, si llega a darse el caso de que una extensión haga vulnerable al navegador, estaríamos ante el caso de que el desarrollador de dicha extensión ha encontrado una vulnerabilidad del navegador. A fin de cuentas, el navegador debe ser el que controla la seguridad, y el responsable de que las extensiones funcionen adecuadamente. Hay mucho por explorar aun y se irán descubriendo vulnerabilidades peores y con más frecuencia.
Y también dijo:
… el autor de la extensión NoScript para Firefox, ha anunciado recientemente una nueva versión experimental que sería capaz de brindar algún tipo de protección contra ataques XSS.
Yo simplemente digo, usen sus extensiones sabiamente 
Más -discusión abierta- en:
ZonaFirefox : Cuidado, tu historial al descubierto
bolsanegra : El CSS y tus huellas en la red
ZonaFirefox : NoScript incluiría protección contra ataques XSS
El CSS y tus huellas en la red
Posted by myself - 20/03/07 at 12:03:36 pmLeo y cito
Mediante "trucos" de manejo de CSS, se puede obtener la lista de sitios que fueron visitados por tu navegador. Pero veamos antes en Wikipedia de qué hablamos cuando hablamos de CSS: "Las hojas de estilo en cascada (Cascading Style Sheets, CSS) son un lenguaje formal usado para definir la presentación de un documento estructurado escrito en HTML o XML (y por extensión en XHTML). El W3C (World Wide Web Consortium) es el encargado de formular la especificación de las hojas de estilo que servirá de estándar para los agentes de usuario o navegadores."
Esto era antes posible sólo mediante el uso de JavaScript, ahora ni siquiera es necesario…
Todos los navegadores más importantes son vulnerables a este truco: Internet Explorer 7, Firefox 2.0.0.2 y Opera 9.10. El exploit es posible gracias a la falta de lógica condicional en CSS, los invito a leer la explicación original en inglés en el sitio http://ha.ckers.org/ –en una nota original de finales de febrero Steal Browser History Without JavaScript.
Voy al sitio mencionado y encuentro varias cosas interesantes. Una de ellas, es que puede utilizarse el ya casi olvidado VBScript para obtener los registros del historial mediante un CSS (aquí el script). La 'buena' noticia es que el VBScript es soportado por no muchos navegadores -diría que IE y los basados en IE únicamente- y debo decir que es buena porque limita el rango de navegadores que pueden verse afectados. No obstante, el volumen de personas que pueden ser víctimas de un script de este tipo sigue siendo realmente alto.
En una de mis ideas locas, llegué a pensar que el uso de los feeds para este tipo de acciones era mucho más factible, ya que los lectores de feeds no suelen proveer protección o bloqueo de código script. Pero uno se encuentra con la limitación de que el usuario debe acceder al feed. Y puedo decir que muchos usuarios no conocen los feeds y los pasan por alto. El CSS es mucho más amplio y obviamente, implica que basta con entrar a un sitio web para aprovecharse de la buena fe del visitante.
Nico comentaba hace unos días que los navegadores deberían ser capaces de evitar este tipo de situaciones. Pero la realidad es otra ya que tienes dos tipos de tecnología del lado del servidor y del lado del usuario, que es algo que complica las cosas.
IE7 : Vulnerabilidad XSS ¿?
Posted by myself - 16/03/07 at 12:03:58 pmSí. Hace tiempo que no publico nada sobre vulnerabilidades. Pero de un tiempo para acá, he notado que o:
1. No hay tantas vulnerabilidades que merezcan ser comentadas. Muchas son de categoría baja. Por lo que a los criminales se les hace difícil sacar algún beneficio de ellas. Y hablar sobre ellas -a menos que no sea en términos educativos- carece de sentido. La idea no es causar miedo ni pánico con una nota amarillista.
2. No hay tantas vulnerabilidades descritas en los últimos días. A pesar de lo que puedan encontrar en otros sitios, he notado varias notas que explican vulnerabilidades heredadas. Como esta en ZonaFirefox.
Hoy, revisando los feeds (3. No reviso los feeds desde hace dos semanas) me encuentro con esto:
Nuevo fallo descubierto hace poco en Internet Explorer 7 (IE). El fallo de tipo Cross-site-Scripting (XSS), vamos que podemos ejecutar script a tuti plein (phising, pharming…). Nos permite eludir los filtros anti-phising ¿Cómo?, tu estas en la pagina de tu e-bank (BBVA) cuando en realidad estas en mi localhost o dominio dejando tus suculentos datos. Otro más para la cuenta.
No se si la falta de conocimientos de mi parte por dejar de leer al respecto, pero un XSS no es una vulnerabilidad del navegador, sino del sitio web que permite ejecución de código insertado.
La vulnerabilidad de IE7 es debida a la forma en que maneja los carácteres en los encabezados (charset). Esto permite que un sitio malicioso ejecute un código XSS desde una página insertada (iframe).
Y por cierto. La vulnerabilidad es de todo menos crítica.
 Less critical |
||
ProxySel, para navegar un poco más anónimos
Posted by Fede - 15/03/07 at 04:03:12 pmA raíz del post de MySelf sobre la navegación anónima, y las herramientas que pueden ayudar a vagar por Internet de esa forma, me acordé de una extensión para Firefox que tiene objetivos similares.
ProxySel nos agrega una lista justo a la derecha del menú Ayuda de Firefox, con distintos proxys para elegir, y con la posibilidad de darles nuestra "calificación" según nuestras experiencias. Por defecto ya vienen algunos ranks, de modo que podamos elegir el que más nos convenga de la forma más fácil posible.
Si queremos navegar seguros, después de elegir el proxy tenemos que hacer clic en un icono con la forma de dos PCs conectadas, que se encuentra justo al lado de la lista.
En primer lugar, es práctico, porque no tenemos que ir a ningún sitio que funcione de proxy. También es facil de ver, pero no molesta para nada a la apariencia de Firefox (yo ni siquiera lo noto).
Sin duda, una excelente herramienta para estar un poco más protegidos frente a los peligros de no poder permanecer en el anonimato en Internet.
Vía | FirefoXtensions
Instalar | ProxySel
Firefox: Extensiones y artículos sobre seguridad
Posted by myself - 13/03/07 at 02:03:28 pmEsto es lo que se comenta en los sitios más conocidos de Firefox en español:
Los marcados con una [E] Representan artículos sobre extensiones y configuraciones.
- Firekeeper :: más protección para Firefox [E]
- Sobre el gif que mata a Firefox (3) :: conclusión
- Sobre el gif que mata a Firefox (2)
- Sobre el gif que mata a Firefox
- Preferencias ocultas de Javascript en Firefox [E]
- No dejes que te oculten la barra de direcciones [E]
- Protege tus contraseñas en Firefox [E]
- Firefox sigue vulnerable al robo de contraseñas
- Elimina la demora en la instalación de extensiones en Firefox [E]
- Cuidado :: tu historial al descubierto
- Vulnerabilidad en Firefox :: marcadores que roban cookies
- ProCon Predator filtra el contenido de las páginas
- CallingID Link Advisor te dice cuán confiable es un website antes de que lo visites [E]
- Ponle candado a tus perfiles con ProfilePassword [E]
- Revisa la seguridad de tu site con HackBar [E]
Más en [ZonaFirefox] | [ firefoXtensions ]
Phistank SiteChecker : Una herramienta para todos los navegadores
Posted by myself - 27/02/07 at 08:02:02 pmMucho se ha criticado el sistema antiphishing basado en listas blancas/negras integrado a Firefox 2.x y a IE7. Para muchos es una total pérdida de tiempo ya que aún cuando un sitio sea conocido como inseguro, el filtro puede permitir que se ejecute antes de detener la carga.
Phishtank, uno de los sitios encargados de mantener a raya a los phishers, liberó una extensión para Firefox, SeaMonkey, IE, Opera, Mozilla y Flock que bloquea las páginas según la base de datos de Phishtank. Su uso es más que simple: Descarga, activa y listo.
La versión 4.0.3, fue liberada el 18 de Febrero, así que es una extensión en constante desarrollo.
Descarga Firefox / Flock : Phishtank (77kb)
Descarga IE : Primero, debes descargar los plugins de uno de estos sitios Trixie o TurnAbout y Descargar este código
Para más instrucciones, visita el sitio oficial de SiteChecker y la página de Instalación.
Vulnerabilidad en IE7 : Severidad baja
Posted by myself - 23/02/07 at 12:02:52 pmUna vulnerabilidad que como casi todas en Windows, permite que un chico malo se ponga a cambiar cosas que no son… (Voy a comenzar a contarlas)
Resumiendo.
Se resuelve cerrando las ventanas de IE.
Yo diría que corriendo y rezando y cerrandolas para siempre.
Afecta a IE7 en Windows XPSP2.
Más detalles técnicos de verdad en [ Secunia: Internet Explorer 7 "onunload" Event Spoofing Vulnerability ]
Solución a la vulnerabilidad por cookies
Posted by myself - 16/02/07 at 10:02:56 amPrevia en [ bolsanegra : Vulnerabilidad crítica en Firefox ]
En Bugzilla la última vulnerabilidad comentada en días pasados como bug 370445. Tuvo solución casi que inmediata -y que es muy sencilla. Para que Firefox no sea vulnerable hagan lo siguiente:
1) En la barra de direcciones escribimos 'about:config' para ir a al configuración de Firefox.
2) Creamos una nueva clave dando clic con botón derecho del mouse y luego en 'Nuevo' - 'Cadena' y le damos el nombre de:
'capability.policy.default.Location.hostname.set'
3) Cuando nos pide el valor escribimos 'noAccess'.
Listo. Una vez realizado esto pueden verificar la demostración nuevamente:
http://lcamtuf.dione.cc/ffhostname.html
Si todo está bien les aparecerá el siguiente mensaje con lo que comprueban que el navegador ya no es vulnerable.
Seguramente no sea necesario realizar esto para futuras versiones.
Copy&Paste descarado desde [ Zonafirefox.net: Solución para la última vulnerabilidad de Firefox ] 
FEED / RSS / EL PERRITO
Los Blogs
Categories
- Actualidad (rss) (338)
- Blog (rss) (129)
- Browsers (rss) (69)
- Buscadores (rss) (20)
- Codecs (rss) (3)
- Descargas (rss) (4)
- Discovery en la escuela (rss) (14)
- elecciones3d (rss) (1)
- Hardware (rss) (4)
- Humor (rss) (129)
- IM (rss) (13)
- Internet (rss) (9)
- iPOD (rss) (7)
- No es pornografía. Pero… (rss) (17)
- Office (rss) (6)
- OpenSource (rss) (17)
- Password (rss) (2)
- Plataformas (rss) (9)
- Redes Sociales (rss) (10)
- S.O. (rss) (121)
- Seguridad (rss) (347)
- Semana Geek (rss) (10)
- Servicios (rss) (9)
- Tutoriales & HowTo's (rss) (4)
- WiFi (rss) (2)
- YouTube (rss) (10)
- Zune (rss) (8)
Archives
- October 2008 (4)
- September 2008 (3)
- August 2008 (11)
- July 2008 (20)
- June 2008 (13)
- May 2008 (16)
- April 2008 (34)
- March 2008 (11)
- February 2008 (1)
- November 2007 (5)
- October 2007 (5)
- September 2007 (12)
- August 2007 (5)
- July 2007 (9)
- June 2007 (17)
- May 2007 (30)
- April 2007 (20)
- March 2007 (31)
- February 2007 (92)
- January 2007 (84)
- December 2006 (46)
- November 2006 (68)
- October 2006 (102)
- September 2006 (54)
- August 2006 (37)
- July 2006 (5)
- June 2006 (25)
- May 2006 (15)
Blogroll
Search
Powered by WordPress with GimpStyle Theme design by Horacio Bella.
Entries and comments feeds.
Valid XHTML and CSS.
