EDICIóN GENERAL
258 meneos
2284 clics
El CSS es tan potente que puede "desanonimizar" a usuarios de Facebook [ENG]

El CSS es tan potente que puede "desanonimizar" a usuarios de Facebook [ENG]

Algunas de las recientes adiciones al estándar web Cascading Style Sheets (CSS) son tan poderosas que un investigador de seguridad ha abusado de ellas para desanonimizar a los visitantes de un sitio de demostración y revelar sus nombres de usuario de Facebook, avatares, y si les gustaba una página web de Facebook en particular. La información filtrada a través de este ataque podría ayudar a algunos anunciantes a vincular direcciones IP o perfiles publicitarios con personas de la vida real, lo que supone una grave amenaza para la privacidad.

| etiquetas: facebook , css , seguridad , privacidad
Interesante artículo, lástima el "desanonimizar" del título.
#1 con lo fácil que es "identificar"
El exploit esta roto roto me deja sin ram así lo lanzo con 1400 con 700 me pide subirlo.
Yo que soy desarrollador Front-end me asombran que estas cosas se puedan hacer con CSS pero sobretodo que alguien las descubra.
#3 Al final la solución va a ser volver a navegar con Internet Explorer 6. :troll:
#8 La solución es que el servidor no envíe los datos que no quiere que sean visibles.
Ni CSS ni leches.
#8 Has hecho infeliz a mi emoticono, ya no sonrie  media
#3 Es normal que pasen estas cosas. Colocas un <footer> con position: relative, se coloca bien el footer pero de rebote se te desmonta la página entera de maneras que no creías posibles y además averiguas datos del usuario. Magia.
#10 ??? Que dices?
#10 Odio CSS con toda mi alma.
#17 CSS es lo más
#17 un niño de 5 años lo manejaria con una sola mano. Sólo hay que seguir las reglas.
#17 Yo amo CSS, si lo odias ahora es que no viviste la época de IE6 y su mierda implementación y cuando todavía no existía CSS3, aquello si que era para valientes.
#3 Sí, con CSS se pueden hacer cosas realmente sorprendentes.

De todos modos el título de la notícia es una mierda. El ataque en realidad no es contra CSS: es un "timing attack" contra el renderizado de un efecto visual. Para ello se aprovecha de:

1) CSS mix-blend-mode, una propiedad que permite elegir diferentes modos de "fusión" de objetos superpuestos.
2) Javascript, con el que se prepara y ejecuta el ataque (sin javascript este ataque no funciona). Insisto: en realidad…   » ver todo el comentario
#32 ¿Y no te sorprende que alguien descubra algo así? Llevo más de diez años trabajando en esto y me siguen asombrando que salgan cosas así, sobre todo porque no sabría ni por donde empezar a mirar.
#37 Bueno, me sorprende y no me sorprende tanto. Es una cuestión de mentalidad.

Tú eres un "constructor". Te dedicas a tratar de montar el mejor sistema posible con los recursos de los que dispones. Tu trabajo consiste en ver el lado "positivo" de esos recursos y aprovecharlos si sirven para cumplir tus objetivos. En este caso, si hubieras visto que existía el CSS blending mode y te hubiera tocado usarlo en algun proyecto que lo requiera, lo que te habría preocupado…   » ver todo el comentario
#42 Gracias, pensé que Meneame estaba ya perdido y me encuentro con tu gran comentario.

Me gusta el cuño que aplicas de "constructores" y "destructores", nunca lo había visto así y tiene mucho sentido. Ahora entiendo muchas cosas y parece mentira que no conociera antes estos conceptos.

Voy a buscar más información sobre esto, me ha cambiado la perspectiva y me ha picado la curiosidad.
#3 sobre todo
#34 Te diría que ha sido el corrector pero mentiría como un bellaco :roll: apuntado queda
#0 identificar igual mejor
#4 Pues sí, gracias. No se me ha ocurrido. ¿algún @admin me lo edita?
system failure
Nada que no se solucione borrando la cuenta del feisbuk.
#6 Lo de facebook es solo un ejemplo. Leida la descripción del ataque está claro que pueden obtener mucha información privada del navegador no relacionada con facebook.
#7 Sí, pero de Facebook pueden sacar datos como nombre y apellidos (si los tienes en tu perfil, claro). De otros lados los datos que pueden sacar son más limitados, salvo sitios sensibles como bancos.
#11 pero el nombre y apellidos son datos públicos, ¿no?, quiero decir que con la api de facebook ya consigues esos datos...
#29 ¿Cualquier web puede obtener esos datos sin tu consentimiento?
#35 hace mucho que no hago nada para facebook, pero me suena que así es.
#7 No no es un ejemplo. Sin estar logeado en ningún lado este ataque no se puede llevar a cabo. Necesitas estar previamente logeado en Facebook o similar y luego ir a estos sitios.
#6 Precisamente lo que se indica en múltiples sitios es que Facebook puede saber quién eres tú aun sin que tengas cuenta en Facebook (shadow profiles).
es el año de CSS en frontend
#9 y los 10 años anteriores también.
#13 Es un chiste, idiota
Yo me desanonimo, tu te desanonimas, el se desanomiza, nosotros nos desanimamonio...
Hay que ser muy tonto pasa "anonimizar" algo tapandolo con objetos HTML o propiedades CSS...
#18 te refieres al que tachó la sentencia de la Gürtel? :troll:
#20 Un buen ejemplo.
#18 estaba pensando eso mismo pero me decía, no se puede ser tan cafre, o algo se me escapa, hace tiempo que no programo webs
#18 Dicha la broma me parece que no se han leído la noticia. No robas información que está oculta en html o css. Sino que con css en una web pueden sacarte tu nombre de usuario (o el de cualquiera) en facebook, tu avatar, el estatus...
Hay un ejemplo gigante en GIF, se ve que no os habéid dignado a abrir la noticia siquiera.
#25 Cualquier cosa que pueda sacar, debe antes estar allí.
#26 Desde luego, y que propones internet sin información? Te lo explico mejor ya que no quieres abrir la noticia. No roba ninguna información oculta, lo que hace es identificar al usuario a través de css, de ahí el "desanonimizar" recopilando datos que no están ocultos como el nombre, el avatar o el estado. Que propones un facebook sin nada de esto? :palm: :wall: :shit:
Eso sólo será con CSS3. :troll:
Para quien no haya entrado en la noticia:

Por lo visto ya está arreglado (Firefox 60 y Chrome 63)
Supongo que esto es más bien es pura y llana investigación sobre seguridad informática, en la práctica creo que deja mucho que desear.

menéame