Error muy grave de Google

#1   Pero poner el usuario solo del ftp. En la todos los que he mirado la contraseña está sustituida por los ...

Que alguien me lo explique

#3   joder... vaya cagada pero de las gordas he probado un par y ya están "juankeadas" pero bien...

#4   Los datos que Google obtiene de nosotros... y se les olvida ocultarlo. Qué chapuza de los futuros Micro$oft.

#7   ¿El error no es de Youtube por almacenar esos datos y dejar que Google los indexe? Parece mentira que habiendo comprado Google a Youtube no vigilen estas cosas...

#8   y como coño han llegado esos datos hasta youtube?

#10   #8 Fíjate que en algunos resultados de esa misma búsqueda te encuentras cosas como esa: 1 clicks from _file: //C:Documents_ and SettingsckDesktop ...

Por lo visto YouTube registra todos los lugares desde los que se reproducen sus vídeos. Pero las contraseñas... manda huevos.

#11   Joer la mitad de todas esas webs ya están crackeadas, qué lammers

PD: en 40 mins en portada, no está mal

#13   joder, pues si que la hemos cagao, yo me he leido las 25 pag que salen y al menos no salen datos de 3 videos que tengo subidos a youtube.

El tema es que creo que lo mejor no es proclamar esto a los 7 mares, sino al interesado principal que es google y youtube a la vez, no??

Puede haber personas que por el simple hecho de ver datos propios publicados por tí, tb cojas parte del cotarro, no se, es una duda que me surje.

salu2

#14   ¿No sería mejor que el que ha descubierto esto informase directamente a google para que lo pudiese arreglar antes de que los juankers del mundo la armen parda, al hacerse esto público?

#15   Lo fuerte es saber el control que tienen de todo lo que hacemos.

#16   Yo estoy con # 13. Quizás hubiera sido mejor un poco más de discreción.

#17   Estoy con #8, lo raro no es que los muestre sino que google o youtube (es lo mismo, ya lo se) tenga esas contraseñas.

Por lo que veo no son sitios que estén alojados o pertenezcan a dominios de google.

Alguien que suba vídeos a youtube sabe si en algún momento hace falta informarle la contraseña de algo ?

Esto podría incluso destapar algo mas gordo, como que google este almacenando datos que no le pertenezcan y lo haga sin el conocimiento de la persona de las que los obtiene.

No se, es todo muy muy raro.

#18   Este se lo ha currado un poco mas:

ftp://semihdede21:213349419@208.64.38.23/cafetuana.somee.com/images/tech2.png

#19   Aunque, ahora que lo pienso, ¿el error no es del navegador que envía el referer con la contraseña?

#20   Pues yo me atrevería a decir que el error grave de verdad de la buena es de los navegadores.

Los navegadores mandan una información en la cabecera del modo "Referer: meneame.net/story/error-muy-grave-de-google ", que es de donde YouTube (o la web que sea) obtiene la URL desde la que se ha llegado (si no ha sido directo). Osea, el pifiazo es del navegador por mandar en esa URL un nombre de usuario y una contraseña.

#22   no entiendo, porfi lo explicais para ignorantes!!!! gracias

#23   Tiene pinta de ser un referer, es decir, desde donde llegan los usuarios, así que el problema más bien sería del navegador. ¿Cómo puede ser el navegador que si haces click en un archivo ftp transmita el referer con la contraseña y todo?

#24   #16 Si y no. A veces que estas empresas tan grandes te hagan caso es muy complicado. Lo reportas a alguien y hasta que no llega a quien toca pasan días, semanas o meses (y fijo que lo mas probable es que no llegue).

No es porque sean inútiles sino porque tienen una estructura compleja y reciben peticiones de muchísima gente, la mayoría equivocadas, estúpidas e inútiles.

Publicarlo ciertamente hace que sea mas conocido y mas gente acceda a los datos erróneos, pero a su vez hace que el problema tenga mas prioridad y se solucione muy rápidamente.

De otra forma, las 4 o 4.000 personas con el privilegio de conocer ese bug pueden estar usándolo durante meses y el daño puede ser aún mayor.

La repercusión y por consiguiente el ridículo que pueda sentir la empresa afectada puede generar una mayor concienciación por el resto de empresas que también podrían tener problemas similares y ser mas activos con el tema (si si ya ya ... pero soñar es gratis).

#25   Ahora se le llama hackear a que te den una lista de ftp's con sus respectivos logins y contraseñas. Me parto...

#26   A este paso va a haber que ir a un ciber para subir un vídeo a youtube a través de un proxy anónimo

#27   #23 Pero es raro que la gente venga de un ftp, no ?

Es decir, cuantos enlaces a youtube puedes encontrar en ftps ?

#28   #21, ¿y porque exista una web dedicada a divulgar bugs, eso es la mejor solución? Entonces, la Cienciología, la paidofilia o Windows también son las opciones correctas, porque no tienen una, sino miles de webs dedicadas.

#30, que sí, que es tu postura y me parece estupendo, pero que la existencia de tal o cual web no la legitima.

#29   Quizá seria interesante cambiar el titular ya que no esta nada claro que el error sea de Google ni de youtube.

#31   No es un mal método. Cualquiera que tenga registro de "stats" en su página se podría aprovechar de esta vulmerabilidad. En ftp's de universidades, cuelgas .lnk a tu página web, donde se registran los referes. En unos días lo tienes llego de contraseñas del ftp de la universidad.
El inútil es el usuario que navega por ftp's a través de su navegador, y el navegador que envia tal información plana, de hecho, es el própio protocolo ftp el que carece de seguridad.

#32   #30 Ni de coña. Igual que defiendes mi comentario #28 seria aplicable a lo que hace google, mostrar públicamente un error de los navegadores para que lo arreglen.

Edito: Google ha publicado un error por error, curioso :-), de todas formas el origen es lo que importa. Y si son los navegadores es culpa del navegador y de nadie mas.

#33   #22 Yo no tengo ni idea de cómo funcionan los ftp, ni de informática. Pero tiene pinta de que funciona más o menos así:

Ahí aparecen un montón de direcciones de ese tipo:
ftp://usuario:contraseña@ftp.dominio.com

y si accedes a ellos, en teoría, con ese usuario, y esa contraseña accedes a contenidos protegidos en ese dominio.

Seguro que he usado lenguaje y términos equivocados, corregidme sin compasión.

#35   #33 Si, funciona así.

Lo que vemos raro es que google obtenga esa información de ftps que no son suyos. Es decir, quien le hace llegar esa información ?

La teoría mas plausible es que son los navegadores. Si vienes de un ftp el navegador envía todos esos datos, incluida contraseña!, como referer al servidor web al que vas. Lo dicho, es una teoría.

Si fuera así la culpa sería del navegador, no de google que solo estaría mostrando un dato que no es confidencial (el referer no esta considerado como un dato sensible a nivel de seguridad, faltaría mas).

#36   Ya han hecho un video del tema... como no, en youtube

youtube.com/watch?v=Bz7Tfjns7ZM

#37   Yo también estoy pasmao , esto es de traca ¿que cosa que tienen las contraseñas de ftps?

Ya les vale

#38   Joder a ver cuanto tardan en arreglarlo.

#39   #36 Según el video el problema aparece cuando subes páginas con videos embedidos usando un cliente FTP a tu servidor.

No lo entiendo, me sigue pareciendo muy raro.

En que momento se manda esa información ?

#40   #38 La pregunta parece que no es "cuanto tardan" sino "quien tiene que arreglarlo".

#41   Pues sí, es lo que comentaba antes, es por el referer. Cuando pones objetos embebidos en una página html, el navegador envía una cabera http con el referer del sitio desde el cual se ha accedido a ese objeto (ya sea una imagen, un vídeo, un script, etc).

Me parece más bien un grave problema del navegador que haya dejado escapar esa información que no de Youtube.

#42   El FTP es terrible, yo ni lo instalo. SSH y SCP forever!

#43   Mis conocimientos son escasos.

Pero eso de "clicks from" sale en youtube al darle a "links" (debajo de "Views: 345 | Comments: 0 | Favorited: 2 times")

En los que he mirado han eliminado los que han enlazado desde ftps, pero quedan desde "file: ///" como este ejemplo: www.youtube.com/watch?v=k0bmi__T7p8&mode=related&search=#

Al que han accedido desde sitios como:

file: ///C:/Documents%20and%20Settings/Bernard/Local%20Settings/Temporary%20Internet%20Files/FrontPageTempDir/pvw12

#44   #36

El vídeo que citas, y en el que se explica el problema, es del día 17 de Junio. Es decir, de hace 6 días. ¡Y el problema sigue allí!

Parece que ni denunciándolo en público lo arreglan... :-?

#46   #33 "Muchisimas Gracias"

#47   #45 Flash, seguro. Ese programa es Satán hecho software

#48   No entiendo ni mela

#50   #49 ¡plas, plas! Te lo dije

#51   Cache: www.teoriza.com/cache/304

#52   Que barbaridad... lo peor de todo esto es que al publicitar esto, se va a llenar de "juankers" todos orgullosos de joder el trabajo (webs) de otros. Por dios, he hechado un ojo y hay hasta páginas de universidades joder... esto no puede acabar bien.

#53   Buscador libre, descentralizado y p2p YA

#54   #53 Que perdido vas campeón. Leete los comentarios anda.

Te corrijo: Macromedia Flash libre ya

(hay substitutos libres, lo se, pero están en bragas)

Edito: si Opera no lo hace será que tampoco es cosa del flash, sino exclusivamente del navegador (aunque solo lo haga cuando usa Flash). A ver cuanto tardan los navegadores en arreglarlo, sera divertido ver cual es el primero y cual se equivoca tres veces antes de hacerlo bien.

#55   Problema de flash...un punto más a favor del software libre. Es curioso como la "apertura", el "full disclosure" que propugna el software libre sirve para proteger nuestra privacidad y que el software propietario, propugnador de la "seguridad por oscuridad" sean los que más problemas tengan para proteger la privacidad de sus usuarios. Es como poco paradójico...

#56   Podemos ya corregir el titular por favor ?

Venga, para que todos se queden contentos "Error muy grave en Google"

#57   #54 jeje... nunca viene mal reivindicar una alternativa a google

#58   #49 Gracias por la aclaración. Así que al final no es culpa de Google. A veces las prisas juegan mala pasada.
Si no me equivoco esto sería como si tienes en una página de tu web datos privados sin un robots.txt que evite que los buscadores indexen esas páginas y zas, los buscadores indexan datos privados tuyos ¿problema de los buscadores?. Vah, más o menos.

Con respecto a hacer público el error mejor era hacerlo público pero una vez resuelto, se evitarían juankers jugando . Google hasta ahora parece que ha atendido los comunicados de todo tipo y con todas las vulnerabilidades se hizo así.

Pero bueno, cada uno con su modo.

#60   La culpa será de los inútiles que cliquean desde un área privada (y usan el navegador como cliente FTP) no de Google por indexar eso...

#63   #61 Un "bicho", para ser más precisos

#64   #59 El fallo no es al presentar los datos de la búsqueda (tu captura); sino del envío del vídeo desde un navegador mediante flash por ftp. Que el único que no manda la contraseña es opera.

(Si falta precisión, sigo aclarando que mis conocimientos de informática son muy limitados)

#65   La lista de ftps no es tan larga como parece.

#66   Por las contraseñas que veo... parece que sí que es verdad que hay gente que usa la "123" hasta la "123456" Otros muy originales como "555555" y los hay que ponen su número de tlfno móvil

#67   holas toas y tos, no kiero paiser paranoicos, pero me orripila ke sarga una afotos mías ke subí al ftp, en tal caso, ubiese formas de bajarla tra vez? (ke taba en carsonsiyos) jejje :$ (iguá aki no sale)

P.D. puse la contra de la tarjeta.... se supone ke no problemo, de toas formas los del banco man disho ke okey.
saludos de antetodo.

#68   #67, te recomiendo un diccionario HOYGAN > spanish, y será más fácil leerte.

#69   #55 Te ha quedao muy chulo el discurso :-P, pero como ya se ha dicho más arriba, el problema tampoco es de Flash, ya que lo único que hace es devolver el "referer" que le proporciona el navegador. El problema está en que la mayoría de navegadores, aunque pasan correctamente el "referer" sin contraseña a otras páginas web, cuando se trata de pasárselo a un objeto Flash, sí pasan la URL completa con usuario y contraseña, por lo que el fallo es del navegador, que no debería pasar esta información a Flash. El único que parece ser que lo hace bien y no pasa la contraseña es el Ópera.

#59 Creo que no te has enterado muy bien. Cuando dicen que Ópera no devuelve los passwords no se están refieriendo a los resultados de Google. Obviamente en todos los navegadores el contenido de una página es el mismo.

#70   #45 y #49 gracias por aclararlo. Parece que el problema está en los navegadores. Pero no creo que sea por el referer, sino porque el vídeo estaría "embebido" en la página html que estaba subida en el ftp en cuestión. Entonces flash tendría acceso a la URL de la página en que se encuentra embebido el vídeo, la cual el navegador se la proporciona completita, con contraseña y todo. Si fuese un applet Java o cualquier otro plugin también tendría acceso a la URL de la página en que se encuentra.

#71   Youtube ha eliminado esos datos de los enlaces de los v

#72   #70 Si, creo que tienes razón. No es el referer, sino simplemente que Flash tiene acceso a la URL de la página actual en la que está embebido el objeto (dirección que manda en el momento de hacer la petición del vídeo), y da la casualidad de que en el caso de ser la URL de un FTP, se incluye también el usuario y password, ya que es la forma de acceder a una página en un FTP desde un navegador: ftp://usuario:password@direccion/pagina

Esto debería arreglarse en todos los navegadores, de manera que no se manden contraseñas de FTP a ningún objeto embebido, ni Flash ni de ningún otro tipo, ya que a través de un objeto embebido esa información puede salir fuera de la página (como pasa en este caso, en el que esa información llega a los servidores de YouTube).

En cualquier caso, no creo que el usuario tenga la culpa de esto, como se ha dicho más arriba. El usuario tiene pleno derecho de hacer lo que le plazca en su FTP, y si quiere ejecutar una página desde el FTP pues que lo haga. El usuario no tiene por qué adivinar que su password se va a enviar a través de Flash sólo por acceder desde FTP. De hecho, hasta ahora nadie sabía que esto podía suceder. Qué manía con echar la culpa siempre al usuario.

#74   #73 Sigues sin entenderlo. El problema no es que los navegadores muestren una página de Google con passwords. Obviamente todos los navegadores mostrarán lo que les dé Google o el servidor web al que accedas, sean passwords u otra cosa. Por eso no tiene sentido la captura que enviaste en #59. Todos los navegadores (sea Ópera u otro) van a mostrar esos passwords, claro.

Cuando decimos que son los navegadores los culpables (excepto Ópera) es porque son los que envían la URL completa con el password a los objetos Flash de YouTube cuando estos se encuentran embebidos en páginas a las que se ha accedido mediante FTP. Estos objetos embebidos de YouTube son los que envían estas URL de FTP al servidor de YouTube.

Y una vez que esta información está asociada a los vídeos de YouTube, Google indexa todas esas direcciones, incluídas las que tienen passwords de FTPs.

Por último, al hacer esa búsqueda de Google, todos los navegadores (incluído Ópera, pues lo único que hace es mostrar lo que le envía Google) muestran esos passwords, pero el problema no está en este último paso (en el que como bien dices "los navegadores muestran lo que Google les da sin proteger") sino en el primero, en el que algún navegador envió el password a YouTube cuando alguien accedió desde su FTP. No es culpa del protocolo FTP, como tu dices.

#75   #68 toy en eyo, ar finá acabé en la siclopedia británicas.... leo musho, pero me da ke no se mentiende, de toas formas sagradese detaye. Sigo en la lusha.

#76   No obstante, aunque la culpa la hayan tenido inicialmente los navegadores por enviar los passwords, no estaría de más que YouTube hiciera una modificación sencilla en su sitio web para que en la sección "Sites linking to this video", que es donde aparecen todos los passwords, se eliminase automáticamente la parte de la izquierda de la arroba en las direcciones FTP de forma que no se mostrase ningún password. Y después Google podría refrescar sus resultados de YouTube para eliminar de un plumazo todos los passwords que ahora se ven en la búsqueda.

#78   La culpa no es de Flash ni del navegador, es del usuario que es idiota.

#55 Bonito discurso demagogo

#79   #76 Youtube ya lo ha hecho pero quedan los datos de la cache de Google

#80   Ya que no importa mucho de quién es la culpa, que alguien lo arregle!

#81   No seamos amarillistas, el error no es de Google para nada.

Google se limita a poner ahí de dónde ha venido la gente, es decir, el campo "referrer" de las peticiones al vídeo. Lo lógico es que no ande mirando si en ese campo hay información que debería ser protegida, eso es responsabilidad del navegador. Y lo que es una burrada es hacer un navegador que mande tus contraseñas de FTP en el campo referrer (por texto plano) a un servidor distinto del servidor de FTP (podría ser youtube o cualquier otro).

Hay muchos blogs, CMS's y otras webs que tienen sistemas parecidos para llevar cuenta de los referrers. El fallo se ha visto en youtube porque es muy grande y la probabilidad de que se dé el problema es mayor; pero seguro que puede pasar en muchas otras webs y, repito, el fallo es del navegador que usaron esas personas.

#82   #81 Yo ya he pedido el cambio de titular varias veces pero la gente por lo visto quiere algún culpable concreto (hay demasiados navegadores a los que odiar) y por ello no se cambia el titular y votan negativo a los que lo pedimos.

Es triste.

#83   El error no es de Google, es del paleto que dejó las contraseñas TAN accesibles que hasta el bot de Google las pilló por casualidad

#84   #83 Meeec. Respuesta incorrecta. Por favor relee los comentarios de la noticia o hazlo por primera vez.

Los que cometen el error son los navegadores web que le dan al plugin flash una contraseña que no deberían y este la envía a google (youtube).