Barrapunto

Firedragging:

Solo ocurre bajo windows. Consiste en camuflar un .bat detrás de una imagen. El hecho que el procesador de comandos de windows se salte toda una cabecera que es una imagen, sin dar error, y ejecute los comandos ¿es un error o una funcinalidad más de Windows?

Firetabbing:

Problemas con la seguridad de JavaScripts cuando arrastras un link a otro tab. Yo no sabía ni siquiera que se pudiera hacer esto! Pero lo Aceptamos como error legitimo.

Fireflashing:

Con Flash se puede invocar la pàgina de configuraciones del navegador y cambiarlas. Con el Flash hemos topado! Quizás este es el bug más peligroso, ya que no depende de que el usuario realize ninguna acción especifica o fuera de lo común.

Destacable que ya està corregido en el còdigo fuente y que en la próxima versión ya lo tendremos todos.

Por otro lado esto de permitir integrar código en documentos visuales (HTML, Word, Excel,...) nunca me ha parecido una buena idea. Es pràcticamente imposible que no te dejes agujeros de seguridad.

El primero creía que sólo se podía hacer en Windows, pero en Linux si tienes un fichero ejecutable con basura al principio y código "shell" al final, también se ejecuta ese código. Yo lo acabo de probar y también funciona.

Lo que lo salva de ser igual de peligroso que en Windows es que el umask por defecto del sistema no permite que cuando se graba un fichero en el escritorio este sea ejecutable. Al menos en mi sistema y en la mayoría de los Linux que conozco cuando se graba un fichero se crea con permisos 640 o 644 que no tiene permisos de ejecución. Así que el usuario debe ponerlo como ejecutable de forma consciente.