Menéame: comentarios [1746059]

#40 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

Makar — Tue, 30 Oct 2012 11:23:31 +0000

#31 Y siempre pone tildes de más: la clásica hipercorrección del acomplejado.

» autor: Makar

#39 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

takamura — Tue, 30 Oct 2012 08:41:34 +0000

#31 El uso de la coma entra dentro de las reglas ortográficas, aunque en este caso también se pueda decir sintaxis. Por ejemplo, en la Ortografía de la RAE hay un apartado dedicado a la coma y su uso. Obviamente, el uso de la coma debe obedecer a las reglas de la sintaxis, pero su uso normalmente se explica tanto en los manuales de ortografía como en los de gramática.

» autor: takamura

#38 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

guifre — Sun, 28 Oct 2012 17:57:01 +0000

#37 Ha hecho una petición con los credenciales en la URI, no ha mandado malicious client-side code en ningún lado..

De tu definición: "permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar" cuéntame donde ha sucedido esta inyección javascript o html en el escenario anterior?

» autor: guifre

#37 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

--179053-- — Sun, 28 Oct 2012 16:23:23 +0000

#36 XSS no solo es un campo en el que puedas completar con codigo arbitrario. Cross Site se refiere a que puedes pasar sesiones no solo en formularios mal parametrizados, el mero hecho de enviar una url que lleva una cookie, ya es XSS. Hoy en día ya no suelen suceder estar barbaridades, pero en su día era indistinguible un XSS de un Session injection.

Te copio y pego la definición de XSS de la wikipedia para despejar cualquier duda <3

XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar (ej: VBScript), evitando medidas de control como la Política del mismo origen. Este tipo de vulnerabilidad se conoce en español con el nombre de Secuencias de comandos en sitios cruzados.1

Es posible encontrar una vulnerabilidad XSS en aplicaciones que tenga entre sus funciones presentar la información en un navegador web u otro contenedor de páginas web. Sin embargo, no se limita a sitios web disponibles en Internet, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí.

XSS es un vector de ataque que puede ser utilizado para robar información delicada, secuestrar sesiones de usuario, y comprometer el navegador, subyugando la integridad del sistema. Las vulnerabilidades XSS han existido desde los primeros días de la Web.2

S41ud05!

» autor: --179053--

#36 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

guifre — Sun, 28 Oct 2012 10:45:17 +0000

#22 donde está el XSS? simplemente se quedó en el historial de visitas la url del e-mail con la Session ID en el query-string y esta no había caducado.

» autor: guifre

#35 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

Pitt — Sun, 28 Oct 2012 10:26:06 +0000

Harris se aseguró que los mensajes que se enviaran desde las cuentas de los fundadores del gigante de las búsquedas le llegaran también a él.

¿Que se aseguró de que cuando ellos enviaran un correo le llegara también a él? WHAT? Esto es imposible.

» autor: Pitt

#34 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

Despero — Sun, 28 Oct 2012 10:10:08 +0000

Ha sido un auténtico "Me quereis, me deseais, pero no me interesa, gracias". Y los pobres de Google ya estaban salivando.

» autor: Despero

#33 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

Marx — Sun, 28 Oct 2012 09:24:05 +0000

#31 No, era muy rápido, #4 #9 ya lo advirtieron.

» autor: Marx

#32 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

senyorningu — Sun, 28 Oct 2012 09:14:57 +0000

Si a alguien le interesa, aquí hablan de ello: www.jupiterbroadcasting.com/26536/breaking-dkm-techsnap-81/
Y mirad el articulo original, porque tienen mas chicha (www.wired.com/threatlevel/2012/10/dkim-vulnerability-widespread/all/).

» autor: senyorningu

#31 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

yoshi_fan — Sun, 28 Oct 2012 04:44:01 +0000

#15 Para ser tan gramar nazi, bien que confundes ortografia con sintaxis.

¿Le cogieron al final? No encuentro si lo cogieron en ninguna parte del documento.

» autor: yoshi_fan

#30 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

Voyager — Sun, 28 Oct 2012 00:54:35 +0000

#29: Sólo hay que ser una pizca de paranoico, otra de curioso, y matemático.

Desconfias de que el remitente sea real y vas a :

"Mostrar original" en gmail

Ves las cabeceras y veras una que pone:

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=dk; d=info.xxxxx.com;
h=Message-Id:Mime-Version:Content-Type:Reply-To:List-Unsubscribe:From:To:Date:Subject; i=alfonso@info.xxxx.com;
bh=WSLdm6BEsZXNU7OQbf/UeUzMhbU=;
b=RqnjNdf+9H3TixJrsKUKB/NBLzuo7bvhf5bU0RLBWGQjS4V2jWGTDxa+vhEBCqwsCdQAMQbk2vWu
au8eK64nJsCDkF57mpYMGq5GO5EVqyoKMRKCFq5uS+iSybBMVB8nDTCwQgM5bABUSqU2UUZXw9Ht
QQq1oMpJEIetg07Gr0c=

Por ejemplo, ahi te das cuenta que la cabecera es muy corta, no una burrada de numeros que es lo habitual en una DKIM segura...

Con un programa de fuerza bruta, lo descifras, y se lo mandas descifrado al origen, y le demuestras que su clave DKIM es insegura...

» autor: Voyager

#29 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

--283609-- — Sun, 28 Oct 2012 00:45:28 +0000

Yo no entiendo nada, te mandan un email, que parece tremendamente legitimo, pero aun asi te pones a investigar no se que encriptado (donde esta ese encriptado para verlo?), ves que es de 512bits y luego que?

No le veo ni pies ni cabeza

» autor: --283609--

#28 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

Toftin — Sat, 27 Oct 2012 23:44:03 +0000

Vale, el tío es un crack, pero siendo ese el puesto que se le ofrecía puede ser que haya sido una especie de prueba a propósito, ¿no?

» autor: Toftin

#27 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

Fotoperfecta — Sat, 27 Oct 2012 23:43:43 +0000

#22 Pues lo ignoro. Mis conocimientos informáticos no dan para tanto

» autor: Fotoperfecta

#26 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

miguelpedregosa — Sat, 27 Oct 2012 23:26:21 +0000

#7 lo siento amigo, el sarcasmo no es lo tuyo

» autor: miguelpedregosa

#25 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

--230508-- — Sat, 27 Oct 2012 23:00:11 +0000

Que desagradecidos... ni siquiera le responden en agradecimiento.... yo creía que estos de Google eran más enrollados.

» autor: --230508--

#24 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

sorrillo — Sat, 27 Oct 2012 22:55:38 +0000

#17 Más que un descuido, era una vulnerabilidad.

Creo que estás confundiendo vulnerabilidad con error de programación o con error de diseño.

Una vulnerabilidad es cualquier cosa que permita llevar a cabo un ataque a un sistema que supuestamente debe estar protegido ante ellos.

Si pones la contraseña en un post-it en el monitor del PC eso es una vulnerabilidad (a menos que el acceso físico a esa ubicación esté restringido convenientemente).

Si usas como contraseña "1234" eso es una vulnerabilidad. Es una contraseña no segura y por lo tanto susceptible de ser usada como vector de ataque.

En este caso usaron una clave demasiado débil para la capacidad de computación actual, por lo tanto el sistema era vulnerable a un ataque que requería una cantidad de tiempo de proceso asumible computacionalmente por cuasi cualquier atacante.

Así que más que un descuido, era una vulnerabilidad. Aunque sí, podía haber sido un descuido, lo cual para el responsable de seguridad de ese ámbito es una negligencia.

» autor: sorrillo

#23 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

robustiano — Sat, 27 Oct 2012 22:49:10 +0000

Harris se aseguró que los mensajes que se enviaran desde las cuentas de los fundadores del gigante de las búsquedas le llegaran también a él. Sin embargo, dos días después las claves encriptadas del correo de Google habían cambiado repentinamente a 2.048 bits. Además, Harris nunca recibió respuesta de los fundadores de Google.

¿Cómo era eso? Ah, sí, don't be evil...

» autor: robustiano

#22 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

--179053-- — Sat, 27 Oct 2012 22:43:08 +0000

#13 Es facil, seguramente en la url iba la cookie de una sesión activa. Sin saberlo, encontraste un XSS con inyección de cookie de sesión.

» autor: --179053--

#21 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

dvp3107 — Sat, 27 Oct 2012 22:38:43 +0000

Ahora viene cuando Menéame implosiona.

» autor: dvp3107

#20 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

XQNO — Sat, 27 Oct 2012 19:32:30 +0000

En portada de yahoo news

» autor: XQNO

#19 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

Fotoperfecta — Sat, 27 Oct 2012 18:47:02 +0000

#17 Piensa que para que haya vulnerabilidades ha de haber descuido
Si observas todas las posibilidades, no hay descuido, y por lo tanto tampoco vulnerabilidad.

» autor: Fotoperfecta

#18 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

--2002-- — Sat, 27 Oct 2012 18:35:20 +0000

#15 O como tú lo pones o eliminando la coma entre años y Zachary.

» autor: --2002--

#17 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

Yomisma123 — Sat, 27 Oct 2012 14:17:35 +0000

Más que una vulnerabilidad, es un descuido.
Estaban usando una firma débil (y por culpa de eso, alguien malintencionado podría mandar emails haciéndose pasar por google) pero se sustituye por una fuerte y ya está (que es lo que han hecho)
De todas formas, un 10 para el señor Harris, que le dió por investigarse el tema y descubrirlo

» autor: Yomisma123

#16 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

airwave — Sat, 27 Oct 2012 13:19:08 +0000

Ni las gracias le han dado, para que aprendáis a hacerle favores a google.

» autor: airwave

#15 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

takamura — Sat, 27 Oct 2012 12:43:44 +0000

enviado al matemático de 35 años, Zachary Harris

Ya estamos con el spanglish de seguir siempre el orden inglés... Esa frase, dicha así, indica que sólo hay un matemático de 35 años y que se llama Zachary Harris. Para decir lo que realmente quiere decir, debería ser:

enviado a Zachary Harris, matemático de 35 años.

Cada vez estoy más harto de las noticias de supuestos profesionales que están llenas de faltas de ortografía. Paso de menear ésta.

» autor: takamura

#14 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

ingenieril — Sat, 27 Oct 2012 11:43:20 +0000

Y Google en vez de mandarle un email agradeciéndoselo simplemente optaron por callar.
No ta mal.

» autor: ingenieril

#13 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

Fotoperfecta — Sat, 27 Oct 2012 09:25:18 +0000

Yo hace años descubrí una vulnerabilidad en los blogs de Microsoft.
Lo puse en conocimiento, pero como mis conocimiento de informática no eran tan avanzados siempre tuve la duda si era culpa de Microsoft o de la otra parte.
Os cuento.
Tenía un blog en los spaces de Msn. Tenías una opción para ver las visitas del blog y de donde te venían (vamos lo normal).
Resulta que le envié la dirección de mi blog, mediante el correo normal de hotmail, a una secretaria que estaba trabajando en una grandísima empresa.
Ella al pulsar mi enlace desde su correo dejó el "rastro" en las estadísticas de mis visitas. Apareció en mis estadísticas el enlace desde el que ella entró, tipo inbox/blablabla.
Me da por pulsar el enlace y accedí directamente desde las estadísticas de mi blog a su bandeja de entrada
Allí pude ver su correo interno, documentos guardados, contactos, etc.
Solo podía acceder cuando ella tenía la ventana abierta del correo en su ordenador.
Se lo comuniqué a ella y también envié correo a Microsoft (creo recordar que también envié un post a Kriptopolis)
Nadie me respondió, pero arreglarlo lo arreglaron

» autor: Fotoperfecta

#12 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

RubenC — Fri, 26 Oct 2012 22:39:08 +0000

El DKIM no sirve "para iniciar sesión" en ningún lado. En fin, las paridas que hay que leer cuando los reporteros se ponen a hablar de cosas técnicas.

» autor: RubenC

#11 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

--193560-- — Fri, 26 Oct 2012 21:50:39 +0000

#7 Todas las empresas tienen fallos de seguridad. Lo que diferencia a unas de otras es el tiempo que tardan en resolverlos una vez descubuertos; en este caso 2 días.

» autor: --193560--

#10 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

capitan__nemo — Fri, 26 Oct 2012 20:58:37 +0000

Yo me pregunto cuantos servidores o carga de computacion adicional en servidores (creo que se mide en MFLOPS) requerirá este paso de clave DKIM 512 bits a 2.048 bits. (y cuanto consumo adicional en electricidad)
Relacionado:
¿Cuánta electricidad consumen los gigantes de Internet?
www.meneame.net/story/cuanta-electricidad-consumen-gigantes-internet

» autor: capitan__nemo

#9 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

--2294-- — Fri, 26 Oct 2012 11:09:50 +0000

#1 Pues no...

> ...Evidentemente, Zachary Harris no entró a trabajar a Google porque de partida la empresa de Mountain View no estaba buscando empleados, además, nunca le interesó, el sólo dio a conocer el caso porque era de interés general [via ow.ly/eMPYa]

» autor: --2294--

#8 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

ChingPangZe — Thu, 25 Oct 2012 13:03:23 +0000

#4 #3 Pues para no estar interesado les ha dejado una carta de presentacion cojonuda.

» autor: ChingPangZe

#7 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

Desmond — Thu, 25 Oct 2012 11:48:22 +0000

Pero pero pero... esto es imposible... Google nunca tiene fallos de seguridad

» autor: Desmond

#6 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

juanrey — Thu, 25 Oct 2012 11:24:32 +0000

#5 Más bien para no ser puteado

» autor: juanrey

#5 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

EdmundoDantes — Thu, 25 Oct 2012 11:03:36 +0000

#4 Vamos, que lo ha encontrado solo por putear, no?

» autor: EdmundoDantes

#4 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

JanSmite — Thu, 25 Oct 2012 11:02:26 +0000

#3 Según dice el propio artículo, no estaba interesado en el trabajo

» autor: JanSmite

#3 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

Florida_man — Thu, 25 Oct 2012 11:00:31 +0000

Vaya crack. Le ofrecen un puesto en "fiabilidad web" y encuentra un agujero de seguridad en la oferta de trabajo.

» autor: Florida_man

#2 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

paco_camps_2011 — Thu, 25 Oct 2012 11:00:30 +0000

Pues no se yo... quizás el email era de Google realmente, hubiera sido una buenisima técnica de reclutamiento

» autor: paco_camps_2011

#1 Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

JanSmite — Thu, 25 Oct 2012 10:55:21 +0000

Me imagino que, claro, lo habrán contratado

» autor: JanSmite