Enlaces
Acerca de este sitio
NSB es un lugar para comentar las novedades sobre seguridad informática. También para la promoción del Software Libre, entre otras muchas razones (y no es la menos importante de ellas la libertad de modificarlo, copiarlo y distribuirlo), porque es el único que, desde el punto de vista de la privacidad, es realmente seguro, ya que su código es conocido.
Me interesa el diseño web basado en un buen uso de HTML y CSS, prescindiendo de cualquier lenguaje de script. De vez en cuando, cae un enlace o algún minitutorial o experimento al respecto. Aviso que soy de los que creen que lo único que se necesita para hacer páginas web es un buen editor de texto.
Para ocultar este texto vuelve a pulsar sobre el titulo.
Spoofing visual en Firefox (y Mozilla)
Avisan en Secunia de que es posible eliminar temporalmente mediante javascript la interfaz de Firefox y Mozilla (en realidad, esto primero puede hacerse en cualquier navegador, como ya hemos visto) y sustituirla por un archivo XUL (toda la interfaz de Firefox está escrita en XUL).
Al sustituir la barra de direcciones, se puede hacer creer al usuario que está en una página distinta a la que realmente se encuentra, pero lo realmente peligroso es que también se puede sustituir la barra de estado y el icono del candado que indica que estamos en una página segura. Al pulsar el candado para examinar un certificado, la ventana del navegador que se muestra con los detalles del mismo también es falsa, aunque parezca un dialogo de Firefox normal.
Incluso un usuario avanzado podría caer en este engaño, siempre, claro está, que no tenga configurado Firefox (o Mozilla) como recomendaba ya a principios de marzo.
El fallo de seguridad que se comenta en Secunia corresponde al bug 244965 en Bugzilla. Hay una prueba de concepto (solo para Firefox, pero podría hacerse igualmente para Mozilla) disponible para comprobar la vulnerabilidad. Lo cierto es que el efecto usando mi configuración es bastante curioso (y completamente inofensivo).
Al sustituir la barra de direcciones, se puede hacer creer al usuario que está en una página distinta a la que realmente se encuentra, pero lo realmente peligroso es que también se puede sustituir la barra de estado y el icono del candado que indica que estamos en una página segura. Al pulsar el candado para examinar un certificado, la ventana del navegador que se muestra con los detalles del mismo también es falsa, aunque parezca un dialogo de Firefox normal.
Incluso un usuario avanzado podría caer en este engaño, siempre, claro está, que no tenga configurado Firefox (o Mozilla) como recomendaba ya a principios de marzo.
El fallo de seguridad que se comenta en Secunia corresponde al bug 244965 en Bugzilla. Hay una prueba de concepto (solo para Firefox, pero podría hacerse igualmente para Mozilla) disponible para comprobar la vulnerabilidad. Lo cierto es que el efecto usando mi configuración es bastante curioso (y completamente inofensivo).
31/07/2004 23:22
.