[c&p] Jeremiah Grossman y Robert Hansen son probablemente dos de los sujetos que más saben de seguridad en navegadores Web en estos momentos. Por eso, cuando ambos se reúnen para presentar una vulnerabilidad definitiva, conocida al parecer hace tiempo por los expertos, que afecta a todos los navegadores (menos a lynx y similares), que no puede solucionarse con un simple parche, que no depende de javascript (aunque javascript lo facilita) y que permite al dueño de un web malicioso hacer que el usuario cliquee en cualquier enlace sin ..
Comentarios
#0 y que permite al dueño de un web malicioso hacer que el usuario cliquee en cualquier enlace sin ..
sin... sin... ¿¿¿sin que??? joe! que me fastidiado la emoción
"que afecta a todos los navegadores (menos a lynx y similares)" Ya me lo parecia a mi... repente-tu-explorador-vuelve-loco-pone-hacer-clicks-solito-hipervincul/1#comment-6
De repente tu explorador se vuelve loco y se pone ...
blogs.zdnet.comEl sueño para los buscadores del karma en meneame.
#1
sin siquiera saber que lo hace, el asunto promete ser serio.
Si además deciden callarse a última hora los detalles (parece que voluntariamente, pero en atención sobre todo a Adobe, que quizás podría resultar particularmente afectado), todo lo que nos queda es esperar más concreción... y mientras especular un poco al respecto.
#1 a eso se le llama un "click"-hanger
#2 Gracias aunque ya había leído la noticia antes de leerte, pero era para decirle a mezvan que no haga esas cosas
#0 Respecto a la noticia, creo que puede afectar mucho a la publicidad... algunos tíos se van a forrar mucho si no los cogen antes los bots de Google en el Adsense...
No entiendo donde está vulnerabilidad, que diferencia hay entre esto, y cargar la url de destino en un iframe invisible? ambos producen lo mismo: un GET/POST a la url que el dueño de la página quiera.
Quizá hay algo que no estoy teniendo en cuenta...
La vulnerabilidad afecta a los plugins en concreto uno muy estándar para todos los navegadores (el de Adobe) por eso se recomienda Lynx (que no usa plugins) para navegar seguros
Lo que hace esta vulnerabilidad es sencillo, tu vas a la web X y ves un enlace que pone... Pulsa aqui para ayudar a los niños del Africa, miras la URL y te redirige a una ONG de ayuda a Africa muy conocida, por tanto es de "fiar"
Cuando haces click, entra en accion la vulnerabilidad, y aprovechan para mandarte a la página B que contienen enlaces maliciosos, que pueden robarte desde cookies, o aprovechar alguna vulnerabilidad del Navegador, al mismo tiempo que al final te redirigen a la página de Africa para que no sospeches.
No es algo que se pueda hacer igual con IFRAMES, ya que con un vistazo al código ves el iframe y descubres el pastel. Esto segun parece es algo más sutil, y por tanto dificil de parchear.
#1 +1, me quedao con cara de.. WTF! (¬¬)
salu2!