Barrapunto

Acabo de probarlo y efectivamente, parece que redirige a Google y luego sale una ventana preguntando por una contraseña, pero en ese momento se ve en la barra de direcciones que el dominio ya no es google.com.

Además, meter una password en una ventana sin que esté enmascarada con asteriscos ya mosquea ¿no? Y no acabo de captar el problema de que seas redireccionado a otra página para meter...¿que password? ¿como sabe que tienes que meter un password ahí? ¿como sabe que tienes usuario en la página redireccionada? En fin, debo ser muy lerdo o la explicación muy mala, pero no lo entiendo...

Lo acabo de probar con IE y me aparece una tercera ventana pequenhita que es la que levanta el JavaScript.

Yo creo que Secunia solo quiere salir en titulares, porque llamarle a esto vulnerabilidad es un poco exagerado.

Solo lo hace cuando lo abres en la misma ventana, si lo abres en un nuevo 'TAB' no pasa nada.

Esto es asi para los nav que usan Gecko (Firefox,Mozilla, Epi...) y tambien para Konqueror.

Saludos,

|fire|

con Firefox 1.0.2...

si, es cierto, sale una pantalla donde pone que meta una contraseña mientras que la pagina de detras es la de google

en esta version no cambia la direccion en la barra de direcciones (como creo que pasa en otras versiones)

pero vamos, de ahi a llamarlo vulnerabilidad... no se... para empezar, en el titulo de la ventana pone [Javascript Aplication]... nadie en su sano juicio o con unos minimos conocimientos pondria una de sus contraseñas en una pantalla asi... al menos no sin conocer la pagina y saber que, por alguna extraña razon que no llego a comprender, te pide el usuario y contraseña de esta manera...

vamos, que para mi es mas una falta de conocimientos de los usuarios que una vulnerabilidad de los navegadores...

La idea es que el test te demuestra ue tu creyendo estar en google, te sale una ventana pidiendote datos que no es de google; esto puede ser util para captar nombres de usuario y contraseña por ejemplo. En el test las "pass" no sale con asteriscos porque no deja de ser una ventana de prueba, donde ves esa ventana pon cualquiera que te imagines. Una solucion es abirlo en una pestaña aparte o darle a copiar direccion del enlace... y luego pegarla en otro sitio.

A mi, Firefox se lo ha tragado entero :-). Si, te sale una pequeña ventana que es la que lanza el Script pero sale tan rapido que la otra es tapada casi instantaneamente. Con IE no me ha ido tan mal porque la ventana que lanza el script me ha salido en otro sitio de la pantalla y no era tapada por el Script.

De todas formas, hasta que la gente no se crea que todos los enlaces son buenos y no tenga u npoco mas de cuidado con los e-mails que recibe y manda no se va a poder hacer nada...

Aupa!

A mí me pide la contraseña, pero la URL que tengo en la barra de direcciones es:

http://www.google.com.secunia.com/origin_spoof.php

que canta bastante...

Aaaaaaaaaaagur.

Para mí algo vulnerable es algo que carece de defensa.En mi Firefox yo veo las dos ventanas, una con la url, y otra que pide la password.
De todos modos está bien que se avise de estas cosas. Si yo paso el cursor por encima de un link que se refleja en la barra como perteneciente a Google, puedo confundir la nueva ventana con una de Google, y está bien que se de publicidad a este tipo de tretas, para que la gente despistada o la que no tiene experiencia no hagan el pardillo.
En este caso la vulnerabilidad está en el usuario.

Con la extension NoScrip, con la que solo paginas autorizadas por ti ajecutan scrip, problema solucionado, me he quedado tonto asta que me he dado cuenta que el scrip se ejecuta desde secunia, y como no la tengo autorizada, pues como que no me salia nada.... Saludos

A ver cuánto tardan los de IE y los de firefox en sacar un parche/actualización...

El ejemplo que han puesto no es nada ilustrativo, pero he estado mirando todo el código y creo que se podría utilizar esto con bastante acierto para lograr pequeños trucos.
El caso es que puedes hacer muchas más cosas que un simple prompt. La idea es que tienes una ventana tuya (en la que puedes ejecutar javascript) sobre una ventana de otro servidor. Además el objeto "opener" apunta a la otra ventana -que no es tuya en realidad-... y no sé hasta que punto esto permitiría incluso tocar la otra ventana (mirar campos de formulario o modificar el código).
Lo que seguro que se puede hacer es mostrar otra ventana con un formulario más interesante que el prompt ese, aunque claro, probablemente no se podría fácilmente tapar la dirección... al menos costaría bastante taparla en la barra de taréas (lo demás se puede quitar simplemente).
Pero lo de la barra de tareas, como (en windows al menos pasa siempre) solo entran unas cuantas líneas, se puede solucionar con una dirección en plan "http://www.pagina_del_banco.com.mi_verdadero_serv idor.com" que en realidad solo se vería "www.pagina_del_ban" o algo así.
Como todas las vulnerabilidades, parecen pequeñas tonterías hasta que alguien con imaginación hace buen uso de ellas, así que no la subestiméis!

He probado la supuesta vulnerabilidad con Firefox y Konqueror y en ambos casos pasa lo mismo: la ventana emergente se abre en otra pestaña (que además no tiene el foco) y los respectivos gestores de contraseñas ni se enteran de que un sitio les está pidiendo un login.

Puede que una ventana pop-up engañe a un usuario despistado, pero es más difícil que engañe a KWallet o al gestor de contraseñas de Firefox: un sitio me pide los datos de un login (usuario/contraseña) y el gestor de logins no los rellena.. ¡Yo tampoco! Y ese simple hecho me hará pensar que algo extraño está pasando.

Además en el caso de Firefox tengo un aviso de que la página de secunia está intentando abrir una ventana emergente y me obliga a darle permiso específico.. ¡Y ahí es donde me entero de la movida! ;)

Personalmente no confío en la barra de direcciones de Firefox. No porque crea que no es confiable, es que a veces se me cruzan las configuraciones de dos a más extensiones y no sé como consigo activar una pestaña y tener en la barra de direcciones la dirección de otra que es casi siempre la primera que abrí. Es molesto y potencialmente peligroso, pero tiene la ventaja de que te obliga a pensar en lo que estás haciendo. Sin embargo esto último no es una vulnerabilidad de Firefox, es una mala configuración.

No soy docto en estos temas, pero en mi pueblo eso lo llaman el timo de la estampita...
Yo entiendo por vulnerabilidad a que el programa tenga una gatera por la que se puedan meter esos malvados piratas que pululan por la red...
En mi opinión no es un problema del navegador sino del usuario... Es como si te mando un mail diciéndote que soy de cajamadrid y que me envíes tu número de la seguridad social, la lista de la compra y el teléfono de tu abuela y tú que eres así de idiota o de confiado vas y me lo mandas... ¿Eso sería una vulnerabilidad de ,pongamos por caso, gmail?
Si lo es es que yo creía entender lo que era una vulnerabilidad y resulta que es algo muy diferente.

Esa supuesta «vulnerabilidad» ya se discutió hace mucho tiempo largo y tendido en slashdot y en otros foros de seguridad.

No se puede decir que sea una vulnerabilidad del navegador, sino mas bien tiene que ver con la habilidad del usuario, y recordemos que sólo funciona si se tienen 2 ventanas abiertas del mismo navegador, ventanas, que no pestañas. Sinceramente, si estás navegando en una página, y en otra ventana que tengas por ahí abierta, se carga una página que no has pedido y que no conoces, o que ves una URL que no corresponde con el contenido, bueno, si metes tus datos es que te mereces que te roben la contraseña. Y lo dicho, si trabajas con pestañas en vez de ventanas este problema no surge.

Secunia se hace eco de esto ahora, pero lo han tenido siempre los navegadores basados en mozilla (y otros) y nunca ha pasado nada. Sólo hay que usar el sentido común.

Saludos.

Acabo de probarlo con el Opera (para mí el mejor browser) y también aparece la ventana