Portada
Hace 6 años | Por ccguy a hackernoon.com
Publicado hace 6 años por ccguy a hackernoon.com

Estoy recogiendo tarjetas y contraseñas de tu web, así lo hago [ENG]

 hackernoon.com

En palabras sabias de Google: Si un atacante inyecta con éxito cualquier código, se acabó el juego. XSS es demasiado limitado, y está muy bien protegido. Las extensiones de Chrome están demasiado cerradas. Por suerte para mí, vivimos en una era donde la gente instala paquetes de npm como quien se toma un caramelo. Así que, NPM iba a ser mi método de distribución. Necesitaría idear un paquete útil para la frontera que la gente instalaría sin pensarlo: mi caballo de Troya.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 2.1k 24

Comentarios

D

#6 tú te llamas ralph

V 6
K 55
D

Pfff, menuda tontería. No hay que preocuparse tanto y dejar de ser tan paranoico con la seguridad ¿A quién vas a interesarle como objetivo?

Lo que si me preocupa es un cabrón que no para de hacer pedidos en Amazon con mis datos, no paran de llegarme cargos, como le pille...

V 5
K 52
r

#5 Supongo que tu segunda frase es ironía de la primera, no?

V 1
K 17
EauDeMeLancomes

Que bien. Acaba de inventar el género de hacking-ficción.

V 4
K 41
ccguy
autor

#1#2 Es un artículo educativo en tono semi humorístico, pero las lecciones son perfectamente válidas.

V 7
K 82
EauDeMeLancomes

#3 Sé lo que es. Lo he leído. Para mi es pura ficción, se apoya en demasiadas casualidades y en que todo el mundo meno el es idiota y basicamente no se revisa nada en el mundo de open source. Es casi un ataque al sistema de código abierto, como yo lo veo. Si no fuese 'humor' la votaría errónea o sensacionalista. Pero me lo tomo como simple ficción-fantasia entretenida y te la meneo

V 0
K 10
D

#7 Te asombraria lo que se puede colar pq todo el mundo piebsa que otro ya lo ha revisado.

V 3
K 27
M

#7 cuando habla del volumen de descargas... se acabo la broma

V 0
K 9
D

#7 En el mundo del ”open source” no se revisa prácticamente NADA. Principalmente porque todo el mundo asume a pies juntillas que otros se encargan de revisarlo.

Tú eres un claro ejemplo de ello, lleno de infundada confianza en un sistema que se basa únicamente en esa misma falsa confianza. Presa fácil para un ataque como el descrito en el artículo.

V 0
K 9
EauDeMeLancomes

#19 Habrás formado tú parte en muchos proyectos de open source como para afirmar semejante majadería...

V 0
K 10
D
editado

#21 Existen millones de proyectos ”open source”, y sólo se auditan los más grandes (en algún caso ni eso).

No sé si yo habré participado en muchos, en unos cuantos sí. Lo que sí tengo bastante claro es que tú no has participado en ninguno.

V 0
K 9
EauDeMeLancomes

#22 si tú lo dices, habré de creerte. Gracias por las contribuciones!

V 0
K 10
D

#23 Nada de gracias, es un toma y daca.

De hecho nunca trabajo gratis, pero en casi todos mis proyectos me preocupo de que haya algún módulo independiente de uso más o menos genérico que se pueda liberar pública y gratuitamente. Es mi forma de retornar al mundo libre lo que tomo de él.

V 0
K 9
D

#3, pues te ha faltado alguna etiqueta o algo, porque con titular, entradilla y tal parece ser otra cosa totalmente distinta. Que vale, que si te metes en la noticia ya te enteras, pero el objetivo de titular y entradilla es que sean fiel para que nos metamos luego si queramos en las noticias que nos interese y no qie nos tomen el pelo haciéndonos visitar enlaces que nos hacen perder el tiempo.

V 0
K 18
ccguy
autor

#10 el titular es una traducción

V 0
K 20
D

#13, ya, pero no es obligatorio oneroso el mismo titular (no, cambiar el titular no es microblogging). Pero además de eso en la noticia pues como justo debajo del titular pone

The following is a true story. Or maybe it’s just based on a true story. Perhaps it’s not true at all.

Y esto como que te aclara de qué va la cosa. Copiar párrafos fuera de contexto hace que parezca que pone cosas totalmente distintas.

V 0
K 18
capitan__nemo
editado

Me suena a repe.

V 0
K 14
D

A persar del título es un buen artículo.

V 0
K 12
Nylo

No sé, una vez creé una web que incluía página con login y password y tal, y aunque hubiese contenido código de terceros como el descrito habría sido inmune a su método. De mí no habría recibido más que mierda codificada. Y no me considero un programador bueno.

V 0
K 10
a

#15 Estaría bien que cuentes cómo serías inmune a dicho "ataque"

V 0
K 6
D

#15 ¿Y para codificar esa información no utilizas software de terceros acaso? roll

V 0
K 9
n

Composer, maven, npm... la tendencia hoy en dia es a incluir toneladas de codigo que no nos hace falta para ahorrarnos escribir un poco de codigo. El resultado es este y "Hola mundos" de 200 megas.

No hace tanto salio una notificia de alguien que tenia en un repo una funcion en javascript que elimino y no se cuantas webs petaron.

V 0
K 9
Candidatas
13
meneos
tecnología Amazon Prime Vídeo te estafa. Que no te tomen el pelo
9
meneos
tecnología La Mega Drive llega a España
23
meneos
tecnología Publicado el código fuente de DOS 4.0 (ENG)
6
meneos
tecnología Investigadores de HKU Engineering descubren la clave para lograr células solares orgánicas eficientes y estables (eng)
11
meneos
tecnología Siemens Gamesa planea instalar un aerogenerador de 21 MW, el más potente del mundo
10
meneos
tecnología Arranca el ejercicio internacional de ciberdefensa 'Locked Shields 2024' con la participación de 200 españoles
17
meneos
tecnología EEUU lanza por sorpresa su primer misil hipersónico para cazas de combate
44
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
16
meneos
tecnología Escándalo en la Industria Tecnológica: Super Micro acusada de vender GPUs prohibidas a China
10
meneos
tecnología PROSOLAR BIRDS, El original invento desarrollado en España para proteger los paneles solares de los excrementos de los pájaros
9
meneos
tecnología Sólo hay que añadir agua: Crea tus propios muebles con estos diseños de esponjas emergentes (ENG)
9
meneos
tecnología ¿Internet está muerto?: la teoría conspirativa que podría volverse realidad en apenas unos años
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
8
meneos
tecnología TikTok: vender o cerrar
8
meneos
tecnología Black Basta, el principal sospechoso en el ciberataque a Ayesa
15
meneos
tecnología El proyecto Alia, el 'ChatGPT español' que entrena el Gobierno: "La calidad de las respuestas va a ser mucho mejor"
11
meneos
tecnología La fotovoltaica da el ‘sorpasso’ a los ciclos combinados: alcanza los 26.260 MW y se convierte en la segunda fuente tras la eólica
8
meneos
tecnología Los trucos de los hackers de Super Mario podrían proteger el software de errores, según un estudio (eng)
11
meneos
tecnología La razón por las que los usuarios de Android pronto van a tener siempre encendido el Bluetooth
P
editado

A mí me parece un buen artículo, tendemos a pecar de buena fe cuando nos ponemos a requerir librerías, y ya para sus dependencias hacemos como si no existieran. Nos confiamos en que alguien lo habrá revisado todo y luego nos sorprendemos cuando se acaba descubriendo algo malicioso que ha estado en circulación meses o años.

Y las contrarréplicas que ofrece me parecen inteligentes, básicamente está burlando todo el sistema de código abierto a base de abusar de la buena fé, damos por hecho no sólo que el código esté revisado, sino que la versión minificada se corresponde 1:1 con la normal, y que la versión minificada del npm se corresponde con la del github.

Lo único que no veo es lo de camuflar la llamada fetch, el código que pone para hacerlo es tan confuso que es hasta más sospechoso que dejar la llamada a simple vista.

V 1
K 9
tuerce

El titular es clickbait. Dice claramente que se lo está inventando. Y que tengamos cuidado con incluir software de terceros... Como si eso fuese fácil a día de hoy.

V 1
K 5