Lo mejor de Google I/O 2013 #IO13 
Yahoo! y Facebook enfrentadas para adquirir Tumblr
Bill Gates supera a Carlos Slim como el hombre ...
Larry Page y la polémica que despertó contra Mi...
El nuevo Google Maps a primera vista
Google Glass a primera vista
Todo lo que vimos en la primera jornada del eve...
Larry Page: "Estamos sólo en el 1% de lo que po...Alguien podría rastrear el cursor de tu mouse si usas Internet Explorer
Horas atrás, la firma analista y proveedora de servicios para avisaje spider.io, hizo pública una vulnerabilidad encontrada en el Internet Explorer que permitiría a otras compañías analistas rastrar los movimientos del mouse que realiza la persona afectada, en un problema que hasta el momento era desconocido y afecta desde las versiones 6 a la 10 del navegador web.
Si bien este problema suena muy comprometedor para la privacidad del usuario, pues hasta el momento habría permitido que al menos dos empresas analistas hayan explotado la falla para beneficio propio, Microsoft respondió a los alegatos diciendo que el problema es real, pero su descubrimiento y publicación responde a la competencia entre las firmas analistas y publicidad, ya que en realidad existen varios métodos para que la gente interesada en el avisaje logre rastrear los movimientos del mouse, lo que se puede hacer además en diferentes navegadores web y plataformas, por lo que esta situación no se trataría de una vulnerabilidad específica en Internet Explorer, sino que casi de “una facultad” a disposición de la publicidad dirigida que existe hace tiempo y en múltiples sistemas. De todas formas, Microsoft dijo estar trabajando en el asunto, a modo de ser uno de los primeros en corregirlo.
Link: Internet Explorer flaw may let ad firms track mouse input, Microsoft says that will change (Engadget)
44 Comentarios
Alguien podría rastrear el cursor de tu mouse si usas Internet Explorer
Firefox + AdBlockPlus
ResponderChrome + AdBlock
IE + FAIL
cuando cresta piensan en habilitar plugins para el browser.... verdad que no se puede es IE
Los sitios web en su mayoría son pagados por la publicidad, si bloquean contenido se genera una ironía... ya que estarían negando la posibilidad de que los sitios web generaran ganancias, las cuales después sirven para que el mismo esté en linea...
Bueno, ustedes al parecer solo navegan en internet, nosotros lo construimos... saludos
@Santiago Una cosa es que pongan publicidad y otra es que te invadan con ella, yo uso los bloqueadores de publicidad por que muchos de los sitios que tu mencionas saturan de publicidad y lo único que logran es hacer emputecer al usuario.
Y sobre lo del rastreo del mouse, bueno los bloqueadores de publicidad no seran la herramienta perfecta para bloquear el rastreo pero si para eliminar un poco la posibilidad de que te obliguen a hacer clics cuando uno no lo quiere.
Ademas ten en cuenta las vulnerabilidades que se generan con esto, teclados virtuales, tiemblen.
Yo uso complementos para bloquear publicidad, por el sencillo hecho de que quiero obtener mayor rendimiento en mi navegador, ya que hay paginas como una que conozco y visito a diario, que abusa en este aspecto. saludos.
Pero es posible poner una etiqueta antes del body y finalizarla despues del /body
no creo equivocarme mucho
yo creo que si se puede =)
estás en lo correcto, pero creo que los navegadores las omiten, más sirve para ingresar scripts (en caso de que fuera así, ahí si que habría que preocuparse!!! XDDD)
Saludos
PUNTO APARTE, como no habilitan la opcion para poner codigos en esta cosa !!!
html
head
/head
SCRIPT
body
/body
/SCRIPT
/html
se entiende?
si usas AdFender no tienes para que instalar plugins en cada navegador.
Se puede poner javascript en cualquier parte del documento, ya sea mediante las etiquetas script, o dentro de los atributos de CUALQUIER etiqueta, ejemplo : ""
Además existen miles de formas de rastrear el comportamiento, lo del mouse es lo de menos, cuando puedes rastrear las teclas presionadas, o las entradas y saldas del cursor en cualquier etiqueta.
De todos modos en lo que respecta a web, siempre se usa rastreo de mouse en las paginas más importantes. Con esto se hacen los mapas de calor y se revisa que cosas son las que más se clickean y se "miran" con el mouse para ir eliminando aquellas cosas que no se usan.
ResponderEn la fuente de la noticia explican que se puede rastrear el mouse incluso si es que la ventana de IE esta minimizada.
Troll: supongamos que yo quiero sacar datos de X portal que tiene teclado virtual. Creo el script que siga al mouse y tome los clicks que haga en el sistema (en la fuente informan que toma asi IE este minimizado o se este en otra ventana o en otra pestaña), a ese escript le sumo otro que obtenga las urls del sitio de mi interes, luego de tener la url (con ruta y todo) del sitio de mi interes corro el script del mouse (creo que lo cargue 2 veces xD), luego hago que el script me tome los clicks sobre cierto sector de la pagina (donde esta el teclado), se establece la aleatoriedad de los botones (No sin antes hacerle ingenieria inversa al codigo del teclado o al software utilizado). Y toda esa informacion sea guardada en un archivo externo. Poco a poco me doy cuenta por que los developers hacen aplicaciones tan torpes a nivel de seguridad, no entiendo como pueden decir que esto no es grave.
Si d4rkr4m535, si, puedes conseguir la URL, pero entiende de una vez que un vomito de coordenadas de poco o de nada sirve para atacar a terceros, útil para toda clase de contenido propio, no se cosas como un banner que sigue al puntero hasta los límites del navegador (si quieres ser un hijo de puta con el usuario), pero simplemente esto es inútil para conseguir información, porque no vez nada (entiendes nada), de poco me sirve saber que el usuario está en el punto (500, 200) y que poco antes estuvo en el punto (500, 100), si no tengo la menor idea de que estaba por debajo, pudo estar una ventana del navegador o pudo estar un reproductor o ese movimiento fue un ataque epiléptico, simplemente no lo sé, y hay vías mucho más factibles de conseguir información, que estar tratando de adivinar, algo que simplemente no adivinaras.
Ahí está el problema d4rkr4m535, que al no ser programador no tienes ni idea de cuáles son los alcances y límites del código, y poco sabes sobre la diferencia entre una verdadera vulnerabilidad que puede ejecutar código arbitrario y la basura sensacionalista y en cadena de problemas que no lo son.
pd. Quien que programe no conoce el bash, es tan básico como bat de Windows, pero el mejor lenguaje padre de casi todo es el omnipotente C, un lenguaje para dominarlos a todos y unirlos en la verdadera programación oscura (ja), un lenguaje que te recomiendo aprender (en especial la metodología de programación que le acompaña), para que así ya puedas internarte en debates sobre que se puede y que no con unas líneas de código.
¿No es algo grave? Sitios bancarios en los que poseen ingreso de contraseña via teclado virtual pasan a ser muy inseguros! Y lamentablemente hay muchas aplicaciones legacy que solo funcionan en explorer, por lo que "cambia tu navegador" no es una respuesta válida.
En la fuente de la noticia explican que se puede rastrear el mouse en toda la pantalla incluso si es que la ventana de IE esta minimizada.
Yo encuentro que es un problema de seguridad bastante grande.
Matías, Juan Muñoz explíquenme como carajo explotarían este supuesto agujero? Vamos que sí que es una virtud. Solo esto nos faltaba, comenzar a limitar a los programadores, por miedo a que te roben la clave del banco con gestos del ratón.
Pd. Esto me recuerda a la ridiculez de que Firefox era vulnerable solo porque ponía imágenes grandes en su speed dial, son unos ridículos.
Troll: supongamos que yo quiero sacar datos de X portal que tiene teclado virtual. Creo el script que siga al mouse y tome los clicks que haga en el sistema (en la fuente informan que toma asi IE este minimizado o se este en otra ventana o en otra pestaña), a ese escript le sumo otro que obtenga las urls del sitio de mi interes, luego de tener la url (con ruta y todo) del sitio de mi interes corro el script del mouse (creo que lo cargue 2 veces xD), luego hago que el script me tome los clicks sobre cierto sector de la pagina (donde esta el teclado), se establece la aleatoriedad de los botones (No sin antes hacerle ingenieria inversa al codigo del teclado o al software utilizado). Y toda esa informacion sea guardada en un archivo externo. Poco a poco me doy cuenta por que los developers hacen aplicaciones tan torpes a nivel de seguridad, no entiendo como pueden decir que esto no es grave................
@d4rkr4m535
Ok, y como sabes que está metiendo datos en ese teclado y no jugando cut the rope? y como sabes las teclas que presiona si no sabes en qué posición de scroll esta, o si movió la ventana del navegador, y que tal si escribió una letra y cambio la canción del reproductor, lo sabrás?
En cuanto a tus chaquetas mentales de ingeniería inversa fapera, y poderes programáticos del anillo único, mmm… que más que decir que te estas sobrestimando, estoy seguro que un día te tiraste un macro en Excel y saliste a la calle a gritar que eres programador.
Poco apoco me doy cuenta de cuánto daño creo la película Hackers creando a tíos que creen que pueden dominar al mundo en 15 min.
Pd. Es simple, esto es lo mismo que si le hablaras por teléfono a un amigo y le preguntaras en qué posición esta, y te aventaras a decir como que gracias a esa información puedes saber cómo va vestido.
Pd2. Prográmate algo que te diga las coordenadas X y Y del ratón (con el API GetCursorPos podrías), después apaga el monitor y dime si puedes jugar, navegar o siquiera reproducir tu música.
@troll jajaja ya veo por que tienes ese nick, sinceramente la ignorancia tuya es inmensa. No se programar ni me interesa pero se lo que me interesa saber para obtener informacion. No se crear macros en excel es mas eso para que sirve???
Si eres programador (lo cual ya no creo) te lo explico... cada ventaana o pestaña del navegador tiene un id el cual se puede obtener con javascript, y luego solo saber la url especifica a cual deberia estar apuntando....... Pero bueno eso para los que estan estudiando desarrollo de software les debe ser un poco incomprendible un mundo en el cual nunca han incursionado. Pelicula Hacker??? mmmmmmmm creo que no soy muy fan de las peliculas hollywoodenses, es mas te recomiendo la pelicula Reboot, eso si muestra un mundo que tu ni conoces.... el bashcode
Pd2. Ahí tienes 5 min convertidos en el programa que te comentaba, un simple seguidor que ten entrega las coordenadas del mause se pone a pantalla completa para que me digas si puedes o no hacer algo sin ver, a y se cierra con el clásico Alt+f4.
http://www.mediafire.com/?ywwni6hkp2fr9au
@d4rkr4m535
¿Cómo es eso que cada ventana y pestaña tiene un id que se puede saber con javascript (y luego conocer la URL) por cualquier pestaña?.
Si eso fuera posible sería una falla de las gordas.
@:/ tienes toda la razón. no es posible acceder a otras ventanas desde el javascript (a menos que el navegador estuviése modificado o tuviera un bug bastante grande), creo que @d4rkr4m535 está hablando puras weas.
webminning... esto es mas viejo que la cresta
Respondersiempre se ha sabido que es factible, se usa mucho, se usa para saber que leen, porque la gente suele pasar el puntero sobre lo que lee....
.... descubrieron la polvora!!!
despues hablaran de que? que existe algo llamado base de datos y sirve para guardar info privada de la gente? juuunten aguaa....
xD
Exacto, si no como se podria concebir la internet si forma parte de la forma en q se retroalimenta.. pobres pajaritos out there
Y ojo, que no me gustan los karaokes, equis de.
Por eso uso Chrome para que nadie espíe lo que... oh wait.
ResponderPor eso uso Firefox!!
Responderpara los pseudos webmaster, esto si esta habilitado y valido no hay ningun problema, el problema es que el script (como lo mencionan en la fuente) se salga del sandbox o de la pagina que se ejecuta y permita ver clicks y movimientos del mouse en otros sitios (Bancos, etc), lo cual pueden usar adwords o otro metodo publicitario para poder ver los clicks, esto sumando con otro script que tome la url de la paginas de las demas pestañas podra a un cracker obtener los datos de ingreso, sin mucho esfuerzo, aunque el teclado virtual cambie de sitio los numeros.
Responder¿Y alguien ocupa IE? Esa porquería solo sirve para descargar Firefox, Chrome u Opera...
Responderpfffffffff, eso se hace desde el principio de los siglos amen XD
Responder¿como creen que se obtienen esos "mapas de calor" web?, donde se muestran las zonas mas clickeadas y asf
De que es una falla es una falla, ya que no tiene porqué marcar la posición del cursor aún fuera de la ventana del navegador. Pero de ahí a que sea un cráter de seguridad con el cuál hay que andar con miedo no, es muy difícil de que se le saque provecho por no decir inviable.
ResponderLa otra vez fui participe de una charla de seguridad en browser. Los estándares usados tanto en IE como en Chrome, son totalmente distintos. Visto a modo básico, IE y la mayoría de las app de microsoft, consultan al usuario sobre su actualización, que es lo que uno espera, lo contrario a Chrome, que se actualiza solo, un claro ejemplo, es "Dime que versión de Chrome usas...". Es bueno y malo, depende del punto de vista que se mire. IE para un usuario común, es un asco por lo mismo, bloquea todo y no deja ver ninguna pagina bien, en la mayoría tiene fallas, pero eso no significa que sea inseguro, son cosas distintas. Por experiencia, e visto proyectos, entrar en problemas, por instalar chrome en maquinas, antes de ser entregados como proyecto, ya que pasan virus y cosas.. En conclusión, fallas siempre van a haber, el tema es como las solucionas y si lo haces publica a traves de un parche, o lo contrario que lo actualice solo sin el consentimiento del usuario final.
ResponderDeja tu Comentario