jueves, 2 de octubre de 2008

Clickjacking: ¿un secreto a voces?

Leo en kriptopolis una noticia sobre seguridad que parece ser, afecta a todos los navegadores:

Jeremiah Grossman y Robert Hansen son probablemente dos de los sujetos que más saben de seguridad en navegadores Web en estos momentos. Por eso, cuando ambos se reúnen para presentar una vulnerabilidad definitiva, conocida al parecer hace tiempo por los expertos, que afecta a todos los navegadores (menos a lynx y similares), que no puede solucionarse con un simple parche, que no depende de javascript (aunque javascript lo facilita) y que permite al dueño de un web malicioso hacer que el usuario cliquee en cualquier enlace sin siquiera saber que lo hace, el asunto promete ser serio.

Si además deciden callarse a última hora los detalles (parece que voluntariamente, pero en atención sobre todo a Adobe, que quizás podría resultar particularmente afectado), todo lo que nos queda es esperar más concreción... y mientras especular un poco al respecto.


Para más información leed los enlaces proporcionados y seguid leyendo el post.


Se echaba en falta la sabia opinión de Giorgio Maone, el creador de NoScript. Ahora ya la conocemos.

También disponemos de la de Michal Zalewski, el creador de los -aún- eficaces torpedos contra Firefox, que desde hace algún tiempo trabaja para Google.

Protección anti-clickjacking

Hablando del misterioso Clickjacking como la madre de todas las vulnerabilidades en navegadores, Giorgio Maone nos explica cómo protegernos frente a la amenaza... si es que podemos.

En resumen:

  1. Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
  2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m...) están a salvo.
  3. Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
    • Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
    • Escribir "opera:config" en la barra de direcciones. Buscar "Extensions" y deshabilitar "iFrames" (...aunque yo no encuentro "iFrames" en mi Opera 9.50 para Linux!?).
  4. Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.

Palabra de Maone. Amén.
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)