Portada
mis comunidades
otras secciones
#12:
#5 La verdad que no me entra en la cabeza a quién se le ocurrió esa función.
No concibo otra respuesta en mi cabeza a "¿quiere que Chrome guarde los datos de su tarjeta?" que "¿pero tú estás tonto?"
No le dejo a un navegador que me guarde las contraseñas, le voy a decir que me guarde la tarjeta.
No concibo otra respuesta en mi cabeza a "¿quiere que Chrome guarde los datos de su tarjeta?" que "¿pero tú estás tonto?"
No le dejo a un navegador que me guarde las contraseñas, le voy a decir que me guarde la tarjeta.
#4:
Hay algo que no me cuadra del todo.
Los cuadros de la tarjeta de crédito no suelen funcionar con autocompletar (por eso tienes que poner el número completo otra vez si lo has puesto mal). ¿Como afecta el autocompletar a las tarjetas entonces?
Los cuadros de la tarjeta de crédito no suelen funcionar con autocompletar (por eso tienes que poner el número completo otra vez si lo has puesto mal). ¿Como afecta el autocompletar a las tarjetas entonces?
#13:
Larga vida a Mozilla Firefox 🔥
#9:
Según el mismo artículo: "Chrome pide al usuario acceder los tres dígitos de seguridad de las tarjetas de crédito antes de autocompletar estos datos, pero de cualquier forma es mejor desactivar la función para evitar ser víctimas."
Interesante noticia, pero viendo el titular creo que votaré errónea por que da a entender algo que no es, al menos con Chrome. Si entras a una web y te pide el código de seguridad de la tarjeta de crédito, évidentemente ni yo ni nadie lo va a poner si no estás realizando un pago.
Interesante noticia, pero viendo el titular creo que votaré errónea por que da a entender algo que no es, al menos con Chrome. Si entras a una web y te pide el código de seguridad de la tarjeta de crédito, évidentemente ni yo ni nadie lo va a poner si no estás realizando un pago.
#3:
¿Lo ha revelado? Esto se sabe desde hace años, lo primero que he encontrado en Google sobre como ocultar los campos para que el autofill los llene, del 2013, y seguramente se puedan encontrar más antiguas: http://blog.elevenpaths.com/2013/10/how-to-take-advantage-of-chrome.html
Comentarios
#5 La verdad que no me entra en la cabeza a quién se le ocurrió esa función.
No concibo otra respuesta en mi cabeza a "¿quiere que Chrome guarde los datos de su tarjeta?" que "¿pero tú estás tonto?"
No le dejo a un navegador que me guarde las contraseñas, le voy a decir que me guarde la tarjeta.
#12 ¿Y como gestionas las contraseñas? ¿Las tienes memorizadas?
#18 Claro. Salvo las de los sitios chorra, como menéame...
#18 memorizas las pocas que son realmente criticas y para el resto un gestor de contraseñas donde estas no sean custodiadas por terceros
#36 ¿Y que las guarde el navegador no es usar un gestor de contraseñas?
#42 go to #43 Un gestor con claves AES 256, fuera del navegador, cuya base datos es exportable al móvil (android) instalando KeepassDroid.
#44 No deja de tener su riesgo, pero es mejor separar las responsabilidades siempre: un gestor de contraseñas para gestionar contraseñas, un navegador para navegar.
De todas formas, hasta donde yo sé, Keepass es minoritario. Y, en cierto modo, al ser minoritario tiene una ventaja más: la cantidad de hackers que se interesan por el será también minoritario.
#42 Si, pero tu sabras cuales son las que quieres guardar ahi. Cuando hackaron las cuentas de Teamviewer ¿donde crees que fueron a buscar las contraseñas de paypal ?
Yo me refiero al gestor donde eres tu el que decides donde guardas la base de datos,el nombre o si quieres tener varias para que no esten todas las contraseñas juntas o simplemente que esten diferenciadas por el criterio que sea, que puedas elejir la complejidad para generarlas automaticamente, que las puedas llevar en un pendrive o elegir el metodo para sincronizarlas en otros equipos. o que tenga algun sistema de seguridad añadido para acceder a parte de la clave maestra que desencripta la base de datos
http://www.ticbeat.com/seguridad/los-mejores-gestores-de-contrasenas/5/
#18 Keepass
#18 Claro. Para cuentas que no me importan mucho puedo utilizar dos o tres relativamente sencillas que repito, y luego memorizadas las complicadas que tocan lo realmente importante. No hay nada más seguro que la memoria de uno.
#18 Keepass y alguna extensión rollo chromeipass es tu amigo que hace lo mismo, rellenar automáticamente los campos en firefox/chrome y te avisa con un popup de 3 segundos cada vez que el navegador ha pedido una contraseña, para que un sitio no se vuelva loco pidiendo y tenerlo controlado.
También hay app para android.
Yo tengo una contraseña diferente en cada sitio, la contraseña maestra de la base de datos es única y la cambio cada 3 meses y en los sitios importantes también regenero la contraseña cada 3 meses.
En los sitios web utilizo contraseñas lo más cortas que me dejan, si son 4 caracteres mejor que 6 y mejor que 8 y mejor si son sin caracteres especiales. Pues si he de copiarla a mano del keepass y es demasiado larga, es un engorro.
Las contraseñas generadas por keepass no te las van a sacar por ataque de diccionario.
La mayoría de robos hoy día es por que hackean directamente la pagina web y si compartes esa contraseña con diferentes webs estás vendido, algo que me pasó en el pasado y por eso cambié el sistema a contraseña única por sitio.
#59 Por no hablar de que el gestor de contraseñas te limita a almacenar tus claves de algún modo, y eso es un engorro si usas nubes y distintos dispositivos/sistemas operativos.
Para mí el mejor sistema son claves fuertes, distintas y con reglas mnemotécnicas. No utilizar tus contraseñas en dispositivos de cuya seguridad no puedas fiarte (lo que incluye cualquier dispositivo con software de dudosas fuentes). Cambiar las contraseñas con frecuencia (a veces cambio o añado algún carácter simplemente) y si les das bastantes horas de uso en internet (lo que incluye especialmente el móvil, pero también el pc) formatea tus dispositivos al menos una o dos veces al año.
#59 Es un buen método. El rollo con los gestores de contraseñas es que si por cualquier motivo ellos o tu contraseña están comprometidos allá van todas tus cuentas. Especialmente si la transferencia de archivos pasa por servidores o si el código no ha sido auditado.
Sin embargo, la aplicación que comentas parece interesante. ¿La elegiste por algo en particular? ¿Me recomendarías esa u otra del estilo?
#65 Utilizo keepass porque es compatible con la mayoría de sistemas operativos y navegadores y trabaja offline.
Fui usuario de lastpass durante un tiempo y la sencillez que te ofrece no se puede comparar, pero ahí entra ya la confianza que tu les quieras depositar. Tener todas las claves centralizadas en un servicio online, que tarde o temprano caerá, (https://lifehacker.com/lastpass-hacked-time-to-change-your-master-password-1711463571) perdón ya cayó, es peligroso.
Prefiero la solución personal y no tener mi contraseña en un jugoso servidor online junto a otros millones de contraseñas.
Yo utilizo https://github.com/canton7/SyncTrayzor syncthing (otra alternativa local a btsync) para mantener el archivo maestro de contraseñas actualizado entre teléfono y ordenador. Así tengo una copia en el teléfono y si estoy fuera de casa, aún puedo entrar a mis cuentas (con el engorro de tener que escribir contraseñas alfanuméricas a mano).
Es el mejor sistema que he encontrado con el tiempo y me da la seguridad que busco.
No es un sistema para todo el mundo.
Tanto syncthing como keepass son opensource para lo bueno y lo malo.
Claro está que si eres blanco de algún grupo de hackers puedes darte por perdido, pero lo suyo es no tener todas tus contraseñas en un lugar donde los hackers hayan puesto la mira y hoy día tenemos tantos servicios online que los postit a mi ya se me agotaron así que la opción 100% manual la descarté.
Larga vida a Mozilla Firefox 🔥
Hay algo que no me cuadra del todo.
Los cuadros de la tarjeta de crédito no suelen funcionar con autocompletar (por eso tienes que poner el número completo otra vez si lo has puesto mal). ¿Como afecta el autocompletar a las tarjetas entonces?
#4 Chrome (al menos) ahora te pregunta cuando detecta que has metido una tarjeta de crédito si quieres grabar los datos para usarlos la próxima vez.
#3 Ahora el problema es más grave porque afecta a las tarjetas.
#5 No, es exactamente el mismo problema, no han tocado nada en Chrome. La única diferencia con las tarjetas de crédito es que solo funcionan en sitios HTTPS, eso lo dicen en el artículo que he enlazado y sigue funcionando igual.
#5 Y como se borra? por que me aparece en la función de autocompletar pero no puedo borrarla.
#11 prueba con crtl+mayusculas+s
Creo recordar (del emule, fíjate tú)
#15 #5 Pero si le dices que no quieres guardar el autocompletar del número de tarjeta (no solo el CVV) no lo hace. Al menos a mí nunca me ha pasado, aunque igual es que soy algo desconfiado y los pocos lugares en los que he introducido la tarjeta no dejan tan facilmente que se guarden esos datos.
#0 y #5 Titular amarillista, ya que NO funciona con las tarjetas de crédito (que si con el resto de campos, y es grave). Para autocompletar la tarjeta de crédito te pide el CVV, por lo que no lo puede hacer de forma transparente para el usuario.
#9 #34 Y si repito la operación 1000 veces? Hay técnicas para evitar repetición de peticiones, pero también hay técnicas para saltárselas, y 1000 es un número muy bajo.
#38 ¿Has hecho la prueba y comprobado que te permite robar los datos de la tarjeta de crédito? Pues eso, titular erróneo y amarillista (por cierto, no se si puedes hacer absolutamente nada mediante código malicioso para rellenar ese CVV).
#47 Un atacante con un exploit (como añadir un formulario fuera de la vista del usuario ligado al "enviar" de un campo de búsqueda o un comentario de "facebook" crafteado) se hace con un porrón de datos de tarjetas de crédito y crea una base de datos.
Mediante una botnet se comprueban de forma distribuida una o muchas bases de datos (suma las que puedes obtener legítimamente más las que puedes comprar en el mercado negro o mediante exploits) y a fuerza de comprobar combinaciones (tres cifras decimales: solo mil combinaciones). Cuenta con que te deje poner el número mal al menos 3 veces por tarjeta y día. Por estadística, cada día sacarás una entre 334 tarjetas.
Yo no sé mucho de esto, pero mi profe de Seguridad decía que hay muchas organizaciones con medios para hacer algo así.
El problema no es tanto que el número de tarjeta sea almacenado (a fin de cuentas, son revelables de forma segura) pero ese sistema, combinado con una clave tan endeble se pensó antes de que existieran tecnologías capaces de almacenar masiva y silenciosamente la llave pública e identificación asociada.
La existencia de medios que permitan algo así es, hoy por hoy, una amenaza.
#62 Me repito ¿existe eso que dices o te lo estás inventando? Desde luego la noticia no habla de un fallo de seguridad semejante: No se puede automatizar el meter el CVV, ni desde una botnet, ni de forma transparente al usuario, así que no, este fallo NO permite robar datos de tu tarjeta de crédito.
Efectivamente, el CVV es una clave endeble, por eso la mayoría usan autenticación de dos factores (SMS, tarjeta de cordenadas...) Si tu tarjeta no tiene este sistema, cambia de banco, pide que te lo activen, o desactiva el pago online.
PD: Insisto en que el fallo es muy grave, pero el titular que se está repitiendo por toda la red es FALSO.
#67 Yo no sé si existe, pero puede existir. Esto de la seguridad va sobre detectar peligros potenciales. Que se pueden obtener datos personales de los campos de autocompletar es un hecho. El navegador nos hace creer que a la información de pago se almacena de forma especialmente segura y es igual de vulnerable.
Aunque lo solicite, Chrome no verifica tu CVV, son tu CVV y el resto de tus datos los que viajan por la red y son verificados en el otro punto. Supón el caso de un formulario como el que propongo, en que el cvv sea rellenado automáticamente. Aunque sea un número erróneo el resto de datos han sido enviados al servidor igualmente.
La vulnerabilidad no permite robar tu cvv directamente, pero sí que permite obtener datos sensibles.
El problema es que, a día de hoy hacerse con un montón de nombres y números de tarjetas es bastante trivial, y que una combinación de 3 números es fácil de sacar por fuerza bruta. Yo no tengo las habilidades, los medios o el interés para hacerlo, pero hay atacantes que sí que los tienen.
No es nada nuevo, pero cada vez usamos nuestra tarjeta en más navegadores y dispositivos y no me parece mala idea dar la voz de alarma.
Los usuarios más cautos pueden utilizar autenticación de dos factores combinada o no con tarjetas virtuales y servicios de pago securizados como paypal (donde evitas dar tus datos al sitio y puedes revertir los pagos si algo no te cuadra). Pero hay muchos usuarios desprotegidos cuya privacidad está ya comprometida, convirtiendo su identidad en vulnerable.
#68 Puedes seguir dando las vueltas que quieras. El titular de la noticia es erróneo. La vulnerabilidad no solo no permite robar tu CVV, si no que NO permite robar el número de tu tarjeta de crédito.
Si sabes cómo hacerte con ese montón de nombres y números de tarjeta de crédito, sabes mucho más que yo (que no sea pagando). Si es mediante alguna vulnerabilidad que conozcas, hazlo público. Si solo estás hablando por hablar, aquí se acaba mi atención.
#9 Estoy contigo y con #4. A mi crhome no me pide acceso a los dígitos de seguridad antes de haber completado los datos.
Me pregunta si quiero guardar la tarjeta y jamás me ha rrellenado esos datos automáticamente
#10 Pero en cualquier momento le doy a sí por despiste o falta de cautela y cualquiera puede ver mi tarjeta. Si se hacen con unos cientos, a alguna le sacarán el código por fuerza bruta.
Que se pueda acceder a unos datos que el usuario cree protegidos es una vulneración de la privacidad.
Entiendo que no es algo que deje a medio mundo en pañales, pero son datos sensibles y no se están protegiendo correctamente.
Para más explaye goto 47
#4 En Chrome al menos sí deja la opción de autocompletar, tanto nombre/apellidos como número y caducidad, lo que siempre hay que meter es el CVV.
¿Lo ha revelado? Esto se sabe desde hace años, lo primero que he encontrado en Google sobre como ocultar los campos para que el autofill los llene, del 2013, y seguramente se puedan encontrar más antiguas: http://blog.elevenpaths.com/2013/10/how-to-take-advantage-of-chrome.html
Según el mismo artículo: "Chrome pide al usuario acceder los tres dígitos de seguridad de las tarjetas de crédito antes de autocompletar estos datos, pero de cualquier forma es mejor desactivar la función para evitar ser víctimas."
Interesante noticia, pero viendo el titular creo que votaré errónea por que da a entender algo que no es, al menos con Chrome. Si entras a una web y te pide el código de seguridad de la tarjeta de crédito, évidentemente ni yo ni nadie lo va a poner si no estás realizando un pago.
#9 Creo que en amazon.com (no .es) hace 1 semana pude comprar sin meter el codigo de seguridad, me parecio raro.
#16 En .es creo que también puedes, porque yo comparto cuenta con otra persona y hace un par de semanas pagué sin darme cuenta con su tarjeta, cuando obviamente no la tenía.
#20 Sí, cuando se recuerda sí, pero en mi caso era la 1ra vez que usaba la tarjeta y no me pidió el código de seguridad, solo el número
#20, pero ahí no estás hablando de autocompletar. Eso es que Amazon tiene los datos de la tarjeta. Igual que en PayPal, metes los datos una vez y luego no los vuelves a meter para pagar con la misma tarjeta. Pero eso es otro tema y no tiene nada que ver con lo que se comenta en este artículo, no depende del navegador.
#16 porque lo recuerda en las tarjetas que ya tengas registradas allí. Cuando añadas o modifiques alguna te volverá a pedir el código.
#16 Eso probablemente es que tienes los datos de la tarjeta almacenados en Amazon.
#16 Amazon sólo te pide confirmar datos si usas una tarjeta nueva o si usas la misma tarjeta pero para enviar a una dirección distinta.
#9 Safari igual....
#9 Efectivamente, el titular es altamente sensacionalista. Si bien es cierto que pueden robar otros datos (dirección, correo, teléfono, nombre completo, etc), los datos de tarjeta no se introducen sin solicitar antes los dígitos de seguridad.
#9 Pues lo tuyo son ganas de joder, porque por una tontería de problema en el titular votas para tumbar una noticia que no sólo es interesante, sino que revela un gran agujero de seguridad que posibilita el phishing de otros datos que no son sólo tarjetas de crédito.
cc #28 #30
#53 Y lo tuyo ganas de hacer el ridículo porque yo no he votado la noticia, le he explicado el porque de un dato erróneo.
Salu2.
#53 si en el titular dice que Chrome tiene un fallo de seguridad con el que pueden robarme los datos de mis tarjetas, y no es verdad, entiendo que es errónea. Es el mismo artículo el que se contradice con el titular, no tengo ninguna gana de joder, ni ganas de tumbar nada, voto en consecuencia a lo que veo y pienso. Creo que se debe tener cuidado a la hora de redactar las noticias, y no utilizar la exageración y la mentira en los titulares para ganar visitas.
#53 Ese tipo de phisihing, o como se escriba, solo va a afectar a gente con tan pocos conocimientos de seguridad cotidiana que si no es por esto, sera por otras mil cosas que conlleven que la timen, ya sea un autocompletar ridiculo o un email de un tipo de Nigeria solicitando un pago a cambio de un premio de loteria. Ademas, lugares como Steam, paginas porno o casas de juego ya tienen mis datos tarjeteros grabados.
#9 Porque en el artículo están confundiendo dos funciones distintas aunque semejantes: por un lado está el autocompletado conjunto que rellena todos los datos de un formulario en base a solo uno de ellos que es la funcionalidad vulnerable y por otro está el gestor de tarjetas de crédito que es de reciente implantación y que no tiene demasiado que ver con la función de autocompletar.
Si compras en sitios conocidos y de confianza no te afecta. Tienes que ir a una web preparada al efecto.
Además la mayoría de tarjetas de crédito tienen autenticación en dos pasos, mediante tarjeta de firmas o mensaje SMS.
Y para rematarlo, creo que ningún navegador guarda los CCV. Así que con el número de tarjeta, poco pueden hacer.
Nivel de amenaza => Casi inexistente.
Aún así, me parece lógico que el autocompletar no rellene los campos ocultos.
#17 Nivel de amenaza, existe.
#17 No tiene por qué ser un sitio de compras el que se aproveche, puede ser cualquier sitio... viendo porno, sitios de descargas o un inocente blog....
El truco está en no ocultar los campos, si no ponerlos en un sitio donde no son visibles.....
#17 La autenticación en dos pasos no es obligatoria, y en todo caso es una cosa que activan las webs, no depende de la tarjeta que uses.
Interesante post, ahora mismo desactivaré esa función.
#2 O pásate a Firefox, que no tiene ese problema.
#2. Parche : '...La única solución que Kuosmanen propone por ahora es que todos los usuarios desactiven la función de autocompletar...'
Solución : #8
Pronto tendremos un "Google desea tener acceso a las llaves de su casa".
Y la única opción será "Lo comprendo y deseo continuar".
#32 las llaves de casa ya las tienen en algunos casos, el problema es que abren la puerta a cualquiera
http://www.microsiervos.com/archivo/tecnologia/siri-abre-puerta-al-vecino.html
#37 Flipo...
A veces me pregunto qué sentido tiene la filosofía "closed from end to end" de Apple cuando una parte importante de esas funcionalidades "cerradas" está tan absurdamemte comprometida.
Sin una ley que les obligue a poner medidas de seguridad o nos permita añadirlas por nuestra cuenta conociendo y modificando el código, vamos a acabar muy mal parados.
#37 "Y ella va y abre la puerta principal."
De eso se trataba ¿no?
Es que hay ideas que...
Mejor eliminar los datos de las tarjetas: https://support.google.com/chrome/answer/142893?co=GENIE.Platform%3DDesktop&hl=es&oco=1
Por cosas como esta tengo yo el autocompletar desactivado.
Y la opción de recordar contraseñas, también.
Que jodios...
#1 Que raro un fallo demasiado critico y que no sea de Internet Explorer es de los otros
Por eso y muchas más cosas nunca me ha gustado Chrome.
yo utilizo Yandex, basado en Chromium y me guarda datos de nombres, dirección pero no me guarda tarjetas, lo he comprobado en configuracion y no hay ninguna guardada.
Si así fuera tampoco me pueden sacar nada, ya que para comprar en internet uso una tarjeta virtual que recargo con el importe justo de la compra.
Si la única opción de una web es meter número de tarjeta y cvc, no es segura. A saber cómo almacenan esa información y quién tiene acceso a ella.
Una web siempre debería pasar por una pasarela de pago de un banco o permitir usar paypal o algo similar.
Menos mal que tengo instalado solamente Edge y Firefox...
Y teniendo en cuenta cuanto me tocan las narices cada vez que entro en Youtube y me piden que instale Chrome... pues dudo que vuelva a hacerlo.
Fui víctima de 3000 € de fraude en tarjetas que no sabía que existían: banco popular emitió una a mi nombre y la mandó ACTIVA a una dirección que no era la que les dí para correspondencia, cayendo en manos de amigos de lo ajeno y percatándome del delito al revisar los extractos.
La cuestión es que inicialmente solo fueron 1500 €, pero tras denunciar los hechos y avisar al banco, procedieron a anularla... ¡¡¡Y EMITIR OTRA!!! A mi nombre... que enviaron activa... a una dirección que no era la que les dí para correspondencia... y cayó en manos de amigos de lo ajeno... y vuelta a denunciar otros 1500 € robados...
Moraleja: revisad los extractos que por muy cuidadosos que seamos con las tarjetas, de poco sirve si las entidades y empresas no lo son.
P.D. Por supuesto que me devolvieron mi dinero, pero sin una disculpa.
Que bien sienta seguir usando firefox desde su nacimiento cuando leo noticias de estas... muerte a chrome!
¿Y quién coño permite el uso de la función de autocompletar en el número de la tarjeta? Hace falta ser canelo.