Fallo de seguridad que permite falsificar direcciones en los navegadores

Archivado
Se ha descubierto un fallo de seguridad relacionado con el uso de carácteres internacionales que permite falsificar la dirección que se muestra en el navegador (ejemplo). Todos los navegadores que implementan IDN (International Domain Name) se ven afectados, como Mozilla y Opera por ejemplo, Internet Explorer se salva sin embargo por no tener implementada correctamente esta característica. Como siempre la recomendación para evitar este tipo de problemas es no seguir enlaces de fuentes que no sean completamente fiables.
BUeno esperemos que corrijan este fallo pronto y que no se empiecen a decir las bobadas de siempre :)
Cierto, pero esto se puede evitar haciendo lo siguiente:

1º Escribir en la barra de direcciones de Firefox: "about:config" (sin las comillas). Si lo hemos hecho bien aparecerá una larga lista de opciones en la ventana del navegador.

2º Nos deslizamos hasta la que dice "network.enableIDN" y hacemos doble-click de manera que se muestre false.

3º Por último, iremos a Herramientas/Opciones/Privacidad y borraremos la Cache del Firefox.

Para comprabar si esto funciona, acceder al enlace de ejemplo que jiXo a puesto y comprobad si podeis acceder a los enlaces que lo compone.

Si me equivoco que alguien me corrija por favor, no quiero provocar un desastre [toctoc] [toctoc] [toctoc]

Eso si, mi Fuente: Gpumania.tk

Un saludo [chulito]
KrlYt0$ escribió:Cierto, pero esto se puede evitar haciendo lo siguiente:

1º Escribir en la barra de direcciones de Firefox: "about:config" (sin las comillas). Si lo hemos hecho bien aparecerá una larga lista de opciones en la ventana del navegador.

2º Nos deslizamos hasta la que dice "network.enableIDN" y hacemos doble-click de manera que se muestre false.

3º Por último, iremos a Herramientas/Opciones/Privacidad y borraremos la Cache del Firefox.

Para comprabar si esto funciona, acceder al enlace de ejemplo que jiXo a puesto y comprobad si podeis acceder a los enlaces que lo compone.

Si me equivoco que alguien me corrija por favor, no quiero provocar un desastre [toctoc] [toctoc] [toctoc]

Eso si, mi Fuente: Gpumania.tk

Un saludo [chulito]


Ya decia yo que iban a sacar rapido el parche XD eso si no se desactivará ninguna función extra al desactivar esto??

Por cierto tiene guasa que IE se salve por implementarlo mal
yo soy de los q piensan q el mejor parxe de segurirdad es utilizar la cabeza cuando se esta navegando (y poner un cortafuegos por si acaso hay algun saltarin...).
KrlYt0$ escribió:Cierto, pero esto se puede evitar haciendo lo siguiente:

1º Escribir en la barra de direcciones de Firefox: "about:config" (sin las comillas). Si lo hemos hecho bien aparecerá una larga lista de opciones en la ventana del navegador.

2º Nos deslizamos hasta la que dice "network.enableIDN" y hacemos doble-click de manera que se muestre false.

3º Por último, iremos a Herramientas/Opciones/Privacidad y borraremos la Cache del Firefox.

Para comprabar si esto funciona, acceder al enlace de ejemplo que jiXo a puesto y comprobad si podeis acceder a los enlaces que lo compone.

Si me equivoco que alguien me corrija por favor, no quiero provocar un desastre [toctoc] [toctoc] [toctoc]

Eso si, mi Fuente: Gpumania.tk

Un saludo [chulito]

Acabo de probarlo ahora mismo y funciona perfectamente la solución que das.

Da un error de caracteres ilegales y no abre la página, todo perfecto!!! [fumeta]
jiXo escribió:Internet Explorer se salva sin embargo por no tener implementada correctamente esta característica.



No iba a ser todo malo para el Explorer [qmparto]
KAISER-77 escribió:yo soy de los q piensan q el mejor parxe de segurirdad es utilizar la cabeza cuando se esta navegando (y poner un cortafuegos por si acaso hay algun saltarin...).


Si yo también pienso eso, pero mucha gente no, navega sin pensar en nada, y eso es el ¿80%? de la gente. Por cierto esto no te lo quita un cortafuegos.
KrlYt0$ escribió:Cierto, pero esto se puede evitar haciendo lo siguiente:

1º Escribir en la barra de direcciones de Firefox: "about:config" (sin las comillas). Si lo hemos hecho bien aparecerá una larga lista de opciones en la ventana del navegador.

2º Nos deslizamos hasta la que dice "network.enableIDN" y hacemos doble-click de manera que se muestre false.

3º Por último, iremos a Herramientas/Opciones/Privacidad y borraremos la Cache del Firefox.

Para comprabar si esto funciona, acceder al enlace de ejemplo que jiXo a puesto y comprobad si podeis acceder a los enlaces que lo compone.

Si me equivoco que alguien me corrija por favor, no quiero provocar un desastre [toctoc] [toctoc] [toctoc]

Eso si, mi Fuente: Gpumania.tk

Un saludo [chulito]


gracias [tadoramo] [tadoramo]
no es un bug! es un feature! :Ð
joder pues justo antes de entrar a eol , fui a entrar a la pagina de la nba , y me puso eso en vez de [url]http://[/url] me puso [url]https://[/url] ....y el firefox me puso una alerta de esas de seguridad para aceptar o no , yo dije...q raro...pero le di a aceptar cawento jue...no me cargo la pagina me puso service unavailabe y nada mas...ya he hecho lo que dijo KrlYt0$ , no creo q pase na...

salu2
pucela00 escribió:joder pues justo antes de entrar a eol , fui a entrar a la pagina de la nba , y me puso eso en vez de [url]http://[/url] me puso [url]https://[/url] ....y el firefox me puso una alerta de esas de seguridad para aceptar o no , yo dije...q raro...pero le di a aceptar cawento jue...no me cargo la pagina me puso service unavailabe y nada mas...ya he hecho lo que dijo KrlYt0$ , no creo q pase na...

salu2


El bug ese no es lo del https... HTTPS es el protocolo seguro de HTTP.
Escapology escribió:
El bug ese no es lo del https... HTTPS es el protocolo seguro de HTTP.


Ah oki , me quedo mas tranquilo :-P

salu2
daniel_5 escribió:Por cierto esto no te lo quita un cortafuegos.


ya lo se, lo q yo digo es q navegar cn cabeza te kita de follones y el cortafuegos por si tienes algun troyano, si algun guasano se mete, si alguien te kiere enrear en el pc y demas. no me referia a eso.
Como bien dice ElChabaldelPc ¡no es un fallo, es una feature!. La noticia tiene un título que no es correcto, hay un problema de seguridad, pero no un fallo de seguridad. La única razón por la que Internet Exporer está a salvo es porque no soporta webs con carácteres que no sean los ingleses.

Eso del IDN (International Domain Name) es un nuevo formato para los dominios (nombres) de páginas web que permite que una web tenga un nombre con letrás chinas o con la eñe o con letras con tilde y esas cosillas... El problema de seguridad es que hay una letrita en UTF-8 (un conjunto de carácteres que incluye todos los códigos de todos los idiomas (y alguno más raro de regalo) menos los asiáticos) que es como una "a" pero más pequeñita (no es la "a" de "1ª", es otra), y se parece mucho a la "a" normal (esto podría ser válido también con otros símbolos que sean similares como letras con tilde frente a letras sin tilde). Con ello puedes hacer creer a alguien que se está conectando a paypal.com o a banco-nisupu.com , cuando en realidad se conecta a otra cosa (cuya(s) letras "a" no son tales sino otro símbolo parecido).

Los chicos de Opera dicen que no es problema suyo sino del sistema IDN y que no van a corregirlo. Los amigos de Mozilla, Mozilla Firefox y compañía recomiendan desactivarlo desde "about:config" como ha comentado KrlYt0$ hasta que se haga un parche. Sin embargo según dicen el parche no será una corrección de un fallo, pues no hay fallo, sino que serán medidas para avisar al usuario de que está en una web con símbolos raros, o que esa web tiene ciertos símbolos que podrían confundirla con tales otras sin símbolos raros, o algo así...

De todo esto me he enterado en http://barrapunto.com/article.pl?sid=05/02/08/1726239 (leyendo la noticia y los comentarios que hay más abajo de ella).

Espero no haberos dormido y habérselo aclarado a algun@s ;)
ke buen dato man, muchas graxias [oki]
Si mirais el código fuente de la página de ejemplo que ha puesto JiXo, vereis que la primera a en el href no es una a, sino un carácter "raro".

Sale algo así, quitando el espacio entre & y #:

Click here to enter paypal


Un saludo.

PD: Mu bien explicao Malkavian.
A ver alguien que me lo aclare.

He probado en el ejemplo con el Explorer 6.0.2800.1106.xpsp2.040919-1003 y un puñado de actualizaciones y al colocar el cursor en los falsos links de http://www.paypal.com (la primera "a" es la falsa correspondiente a un tipo semejante a la autentica "a" y la segunda "verdadera") y no solo las veo exactamente igual en la barra de estado que te indica la direccion a la que te llevara el link sino que ademas al hacer clic sobre el te envia a una direccion que en la barra de direcciones aparece como http://www.paypal.com y tampoco se distingen la "a" verdadera de la falsa (por supuesto indica que no encuentra esa direccion)

Es decir exactamente igual que con el Mozilla 1.7.5 (que es el que uso habitualmente)

Asi que alguien me aclare si tambien el Explorer tiene el mismo problema o en que me estoy equivocando.

Un saludo
La diferencia es que explorer da un error y no muestra la página, el resto sí.
malkavian, problema o fallo de concepto, lo mismo me da.
Antonio R escribió:Asi que alguien me aclare si tambien el Explorer tiene el mismo problema o en que me estoy equivocando.

Tendrás puesto el parche que recomienda microsoft.
creo q voy a apuntarme esta fecha y enmarcarla. El día que un fallo de seguridad afectó a casi todos los navegadores, menos a IE xDDD
Bueno, he hecho el cambio en el about:config y ya tengo resuelto el problema. Por cierto, hay que ver que chulería se gastan los de Opera diciendo que el problema es de ellos y que no lo van a parchear. Aunque supongo que el Opera también tendrá una opción para desactivar esa característica que si no... [noop]
¿Chuleria? Yo diria que tienen razón pero bueno... no es un bug de Opera, ni Firefox... Opera ha implementado correctamente IDN, pero si este tiene un "fallo" (dos caracteres diferentes se visualizan igual según sus propias especificaciones) es normal que se pueda hacer pasar una dirección por otra, y lo que habria que hacer es cambiar IDN, vamos, digo yo :P.
Lo que me parece totalmente acojonante, es que, pasados ya mas de 8 años desde la aparicion de Navegadores, sigua habiendo fallos tan GARAFALES como este.

Vamos haber, donde hay un string, hay un string, los programadores ya saben de que hablo.
Yo lo vi en el diario y no me lo creía. Tras leer los comentarios aclaratorios de algunos usuarios del eol, me lo creo.

Gracias por decir como desactivar dicha mejora
Bien explicado para que nos enteremos todos de ese "bug", o mejor trampa.
Pos...una vez que me decido a instalar firefox...algo tenia que pasar... [borracho]
KrlYt0$ escribió:Cierto, pero esto se puede evitar haciendo lo siguiente:

1º Escribir en la barra de direcciones de Firefox: "about:config" (sin las comillas). Si lo hemos hecho bien aparecerá una larga lista de opciones en la ventana del navegador.

2º Nos deslizamos hasta la que dice "network.enableIDN" y hacemos doble-click de manera que se muestre false.

3º Por último, iremos a Herramientas/Opciones/Privacidad y borraremos la Cache del Firefox.

Para comprabar si esto funciona, acceder al enlace de ejemplo que jiXo a puesto y comprobad si podeis acceder a los enlaces que lo compone.

Si me equivoco que alguien me corrija por favor, no quiero provocar un desastre [toctoc] [toctoc] [toctoc]

Eso si, mi Fuente: Gpumania.tk

Un saludo [chulito]


A mi despues de cambiar el valor a False y borrar la cache me sigue funcionando el link. ein?
El problema no es del IDN si no de la chapuza echa con el unicode, existen decenas de simbolos repetidos a lo largo de toda la tabla unicode, debido al intentar mapear de una manera simple todos los codigos de pagina y no de usar un sitema basado en primitivas, lamentablemente a pesar de ser una chapuza es realmente util pero no es obtimo ni mucho menos.

si quereis ver simbolo unicode os recomiendo: http://www.macchiato.com/unicode/charts.html
yo esta noticia tambien la ví en el 20minutos y como nuestro amigo malo tampoco me lo creia
29 respuestas
Archivado
Volver a Internet