FWLabs: Descargas de Música con Bazuca
FayerWayer
Dosis diarias de tecnología en español.™
Clickjacking: Lo que todos callan pero muchos ya saben
Publicado el 29/09/2008 a las 1:01 pm por ZooTV
Hace algunos días Jeremiah Grossman y Robert Hansen (dos tipos que saben mucho de seguridad en navegadores) se presentarían en la conferencia OWASP NYC AppSec 2008, con el objeto de discutir y develar una vulnerabilidad que afecta a casi todos los navegadores (excepto a lynx y similares). Claro que a última hora decidieron posponer su presentación, principalmente por “recomendación” de Adobe (que parece ser uno de los principales afectados).
Entonces surgen las dudas y rumores sobre el tema a tratar y éste no sería otra cosa que el Clickjacking, que en palabras bastante simples permite al creador de un sitio web hacer que el usuario pinche en cualquier vínculo, cualquier botón o en cualquier cosa de la página sin siquiera percatarse que lo hace.
En ocasiones anteriores se han presentado vulnerabilidades que afectan a diversos navegadores y que, por lo general, se solucionan con un parche. El problema del que estamos hablando parece no tener una solución tan fácil (no se podría implementar en un simple parche) y no depende de JavaScript (aunque Dicen™ que lo facilita).
Según Hansen el problema ha sido discutido tanto con Mozilla como con Microsoft y ambos han coincidido en que este es un problema bastante complicado y que no tiene una solución sencilla. En tanto Grossman confirmó que las últimas versiones de Internet Explorer y Firefox 3 se encuentran entre los navegadores afectados.
La pelota la tienen ahora las empresas detrás de los distintos navegadores.
Link: New clickjacking affects all browsers; cause remains unknown (ars technica)
50 Comentarios
Clickjacking: Lo que todos callan pero muchos ya saben
Ver Comentario... Pablo dijo hace 1 mes ...
30 Kique dijo hace 1 mes:
No entendí casi nada, pero entonces ¿en donde está el problema exactamente?. Me imagino que esto del "robo de clics" propicia la aparición de publicidad no desea como los "pop-ups" que requieren un clic o algo así. Mas detalles de este asunto por favor, que si está muy interesante.
Ver Comentario... Samuel Tagle dijo hace 1 mes ...
-3 Psainev dijo hace 1 mes:
Interesante, pero que complicaciones podría tener “robar clicks”? y como lo hacen : S?
Parece un tema que realmente da para hablar.
Ver Comentario... Tecnometro dijo hace 1 mes ...
Ver Comentario... Kique dijo hace 1 mes ...
Ver Comentario... DxA dijo hace 1 mes ...
3 sandrups dijo hace 1 mes:
claro que es interesante este tema de la seguridad de los navegadores.
Chrome no aparece en los iconos, me imagino por que todavía es un BETA. Explorer aparece 2 veces por sus 2 sabores que se usan actualmente.
1 Marcel Jordán G. dijo hace 1 mes:
Esto es el apocalíptico "Botón NEXT" de las aplicaciones y por ende instala wea raras como también en las paginas al querer crear link :D, conozco muchas paginas chilenas que hacen eso, sobre todo 2 bancos :3
1 HURST dijo hace 1 mes:
Esta vulnerabilidad basicamente hace que una pagina reciba un click sin que el usuario efectivamente haga un click en su mouse. Esto puede llevar a muchos resultados: clicks en publicidad, descargas, etc.
La buena noticia es que quienes usan Firefox con la extension NOSCRIPT, estan protegidos contra los ataques mas graves, y con solo un cambio en la configuracion la proteccion llega al 100% (segun el creador de NoScript).
Mas info, para quienes saben ingles, aqui:
http://www.wilderssecurity.com/showthread.php?t=221353
1 Juan dijo hace 1 mes:
yo tampoco entendi nada…
si alguien quiere mis clics que venga por ellos!!!!
a ver si se atreven a robar mis preciosos….
Ver Comentario... Some dijo hace 1 mes ...
4 Injerto dijo hace 1 mes:
Yo creo que la solución estaría en mostrar siempre hacia dónde va el click. Algunos elementos tienen ONMOMUSEOVER pero no tienen HREF, y en la barra de estado éstos no aparecen, ni tampoco aparecen los destinos de los elementos que no tienen opacidad. El parche más lógico debería empezar por ahí.
9 Carlos dijo hace 1 mes:
Entonces utilicemos LYNX, claro que el ver pestañas sera algo complejo :s
Me podrían explicar un poquito mas sencillo ( con abaco y porotitos) ¿ donde esta el problema ?
3 agua_light dijo hace 1 mes:
y el mosaic no esta afectado? ademas… podrian poner una referencia a algunos iconos, que mas de la mitad no tengo idea de donde salieron.
y la solución: poner una opción que bloquee todas las acciones que no provengan del usuario (que se yo monitoreando la entrada de mouse o algo asi)
0 Fco. dijo hace 1 mes:
Lo que hace el atacante es crear un botón invisible debajo del mouse, onda que cuando uno hace click sobre un botón o link que SÍ es parte de la página, uno termina haciendo click en el botón invisible creado por el atacante.
Muy peligroso…
-2 Herman dijo hace 1 mes:
Lamento la actitud de estos investigadores de no dar a conocer el descubrimiento, hasta ahora lo unico que podria decir es: “ver para creer” ya han existido este tipo de “super ultra mega” vulnerabilidades para darse cuenta que en realidad no lo son tanto.
15 Brian dijo hace 1 mes:
Chrome no aparece porque la imagen fue creada antes que existiera este navegador.
De izquierda a derecha por filas los navegadores son:
- Amaya, ????, Avant Browser, Camino
- Epiphany, Firefox, Flock, Galeon
- iCab, IE7, IE6, K-meleon
- Konqueror, Maxthon, Netscape, OmniWeb
- Opera, Safari, SeaMonkey, Shiira
Que alguien me diga el nombre del navegador del segundo icono
Pero si es por flash que se presenta este problema y afecta a casi todos los navegadores, No se supone que es culpa de Adobe?
-4 Eduardo dijo hace 1 mes:
MMMM este post parece Copy & paste de http://www.kriptopolis.org/clickjacking
14 cimoc dijo hace 1 mes:
Cada uno sabe dónde navega…
Esto parece concurso: El que escribe el artículo nos tira un par de pistas para que en los comentarios se complete la información y ganemos manitos verdes xD
Que se entienda, esto no es twiter!
1 maestroguru dijo hace 1 mes:
Podría quien publico esta noticia (ZooTV) explicar un poco más sobre el tema pq con el “en palabras bastante simples ” no se entendió nada.
0 1200 dijo hace 1 mes:
Lo que yo entendí, pero con muchísimas dudas fue que en una página se pueden activar los links solos, sin que el usuario haga clic. Se necesita una aclaración.
Ya suponía que había algún problema, porque la actualización de Firefox 3.02 a la 3.03 fue muy seguida (un par de días). Pero no me imaginé que estaban involucrados todos los navegadores.
Ver Comentario... Nacho dijo hace 1 mes ...
-1 Herman dijo hace 1 mes:
Para los que todavia no cachan que es el clickjacking: Aqui hay más info
Aunque la info es antigua no creo que sea lo mismo que hablan estos viejitos.
Ver Todos Páginas: [1] 2 Próximos 30 Comentarios →
Deja un Comentario
Publicado el 29 de September de 2008 por ZooTV en la categoría Internet con las etiquetas Clickjacking, Internet, Navegadores, Seguridad, Vulnerabilidad. Tiene 50 comentarios.
Enviar por email |
 |
Artículos Relacionados
Artículos Recientes
Microsoft está entre los ISP que más spam generan
Apple gasta 486 millones de dólares en publicidad
Los nuevos MacBook y MacBook Pro no andan muy bien sin su batería
Ballmer tendrá que testificar en el caso de los logotipos de Vista
Problemas con el sistema que recicla el agua en la ISS
FWInterviu: Dilip Kenchammana, Manager Nokia QT Software
Biblioteca digital Europeana no sobrevive las primeras 24 horas
El puente más alto del mundo fue construido usando cohetes
Impresentable: Fake Woz en el baño con su segway
Creative Zen Moo y Zen Moo Plus sólo para China
← Primera Página
Cambia de diseño en Gmail
DirecTV lanza en Chile servicio de Alta Definición Satelital
El lenguaje de programación Turbo Pascal cumple 25 añosBetazeta Networks: FayerWayer • Nuyorker • Saborizante • Zimio
(cc) 2007 Betazeta Networks, algunos derechos reservados bajo una licencia Creative Commons.
FAYERWAYER es una marca registrada de Betazeta Networks Ltda. FayerWayer recomienda Usar Firefox
Alimentado por WordPress / Diseñado por Leo Prieto / Desarrollado por I2B.
Ver Todos Páginas: [1] 2 Próximos 30 Comentarios →