Comentarios en: Alerta para usuarios: Clickjacking http://unmundobinario.com/2008/09/29/alerta-para-usuarios-clickjacking/ Thu, 11 Mar 2010 13:11:35 +0000 http://wordpress.com/ hourly 1 Por: Javier http://unmundobinario.com/2008/09/29/alerta-para-usuarios-clickjacking/#comment-1138 Javier Thu, 02 Oct 2008 14:33:59 +0000 http://unmundobinario.wordpress.com/?p=1030#comment-1138 Federico, En el primer link de la lista "Más información:" mencionan tambien el punto "secuestro del portapapeles", por eso el post ;). Es un tema bastante preocupante tambièn. Durante años trabajè como desarrollador PHP para una empresa italiana (de Milano)donde este tipo de estrategias se utilizaban con frequencia con intenciones poco filantròpicas por asì decirlo, motivo por el cual decidì renunciar (luego de aprender todo lo que me resultaba interesante). Eran otros tiempos y la seguridad de los browsers era bastante mas delgadita, sobre todo IE. Federico,

En el primer link de la lista “Más información:” mencionan tambien el punto “secuestro del portapapeles”, por eso el post ;) . Es un tema bastante preocupante tambièn. Durante años trabajè como desarrollador PHP para una empresa italiana (de Milano)donde este tipo de estrategias se utilizaban con frequencia con intenciones poco filantròpicas por asì decirlo, motivo por el cual decidì renunciar (luego de aprender todo lo que me resultaba interesante). Eran otros tiempos y la seguridad de los browsers era bastante mas delgadita, sobre todo IE.

]]> Por: Federico Almada http://unmundobinario.com/2008/09/29/alerta-para-usuarios-clickjacking/#comment-1132 Federico Almada Wed, 01 Oct 2008 16:07:35 +0000 http://unmundobinario.wordpress.com/?p=1030#comment-1132 Javier, Clickjacking =! Clipboard HiJacking Clickjacking es una técnica que viene siendo utilizada bien 'under', y que consiste en manipular los enlaces que clickeará un usuario. Quizás leíste por arriba y el nombre es similar (yo al principio desestime noticias de clickjacking pensando que era lo del secuestro del clipboard jeje así que entiendo la confusión =P). Solo eso ;) Saludos! Javier,

Clickjacking =! Clipboard HiJacking

Clickjacking es una técnica que viene siendo utilizada bien ‘under’, y que consiste en manipular los enlaces que clickeará un usuario.

Quizás leíste por arriba y el nombre es similar (yo al principio desestime noticias de clickjacking pensando que era lo del secuestro del clipboard jeje así que entiendo la confusión =P).

Solo eso ;)

Saludos!

]]> Por: Javier Valderrama http://unmundobinario.com/2008/09/29/alerta-para-usuarios-clickjacking/#comment-1131 Javier Valderrama Tue, 30 Sep 2008 14:27:36 +0000 http://unmundobinario.wordpress.com/?p=1030#comment-1131 Estimado Sebastiàn: Primero que nada muchas gracias por los excelentes post que no enviàs a diario, desde que me incribì (pocas semana atras) no dejo post sin leer. Solo una nota informativa, para quienes no estaban al tanto, el secuestro del portapapeles a traves de javascript + flash es utilizado desde hace tiempo. El recurso mas simple es accesible en la red en numerosos sitios de free web design resources. I.E. 7 generalmente emite una alerta antes de permitir el acceso al portapapeles por este medio, Firefox y Opera no. No hice pruebas en otros browsers por el momento. Si bien la estrategia de copiar de acceder al clipboard estaba destinada e su implementación en CMS o formularios nada prohibe que a traves de actioscript el contenido del portapapeles pueda ser utilizado para otras cosas.... cuantos usuarios "incautos" tienen en un archivo de texto sus credenciales de acceso (ya de por si un habito extremadamente peligroso y no recomendable) y en vez de memorizarlas las copian y pegan en los formularios de login!!!!! Estimado Sebastiàn:
Primero que nada muchas gracias por los excelentes post que no enviàs a diario, desde que me incribì (pocas semana atras) no dejo post sin leer.

Solo una nota informativa, para quienes no estaban al tanto, el secuestro del portapapeles a traves de javascript + flash es utilizado desde hace tiempo. El recurso mas simple es accesible en la red en numerosos sitios de free web design resources.
I.E. 7 generalmente emite una alerta antes de permitir el acceso al portapapeles por este medio, Firefox y Opera no. No hice pruebas en otros browsers por el momento.

Si bien la estrategia de copiar de acceder al clipboard estaba destinada e su implementación en CMS o formularios nada prohibe que a traves de actioscript el contenido del portapapeles pueda ser utilizado para otras cosas…. cuantos usuarios “incautos” tienen en un archivo de texto sus credenciales de acceso (ya de por si un habito extremadamente peligroso y no recomendable) y en vez de memorizarlas las copian y pegan en los formularios de login!!!!!

]]> Por: Sebastián Bortnik http://unmundobinario.com/2008/09/29/alerta-para-usuarios-clickjacking/#comment-1130 Sebastián Bortnik Tue, 30 Sep 2008 12:24:06 +0000 http://unmundobinario.wordpress.com/?p=1030#comment-1130 @Federico Almada: No suelo enojarme, y menos cuando un comentario aporta al post y, de ser necesario, aclara o corrige. Gracias por tus dos observaciones, coincido con ambas. Lo de Adobe me quedó mal expresado y lo de NoScript, buenísimo para los usuarios. @Federico Almada:
No suelo enojarme, y menos cuando un comentario aporta al post y, de ser necesario, aclara o corrige.

Gracias por tus dos observaciones, coincido con ambas. Lo de Adobe me quedó mal expresado y lo de NoScript, buenísimo para los usuarios.

]]> Por: Federico Almada http://unmundobinario.com/2008/09/29/alerta-para-usuarios-clickjacking/#comment-1129 Federico Almada Tue, 30 Sep 2008 11:49:32 +0000 http://unmundobinario.wordpress.com/?p=1030#comment-1129 Seba, Sin querer irte en contra.. :P en el blog que escribe uno de los flacos, dijo que no lo hicieron por Adobe (ni Microsoft que también fue avisada, entre otras empresas), sino porque vieron que era demasiado grave... y prefirieron esperar (por suerte). Aclaro porque suena como que los flacos se frenaron por guita (como suele pasar) y no fue tan así... ;) (al menos tienen un poco de éticas estos jejeje). En cuanto a NoScript, te faltó agregar que hay que ingresar en opciones, plugins y activar la casilla de Prohibir (!), que aparentemente venía desactivada (al menos, yo no toque la config de noscript nunca, y estaba desactivada je). Saludos! Seba,
Sin querer irte en contra.. :P en el blog que escribe uno de los flacos, dijo que no lo hicieron por Adobe (ni Microsoft que también fue avisada, entre otras empresas), sino porque vieron que era demasiado grave… y prefirieron esperar (por suerte).

Aclaro porque suena como que los flacos se frenaron por guita (como suele pasar) y no fue tan así… ;) (al menos tienen un poco de éticas estos jejeje).

En cuanto a NoScript, te faltó agregar que hay que ingresar en opciones, plugins y activar la casilla de Prohibir (!), que aparentemente venía desactivada (al menos, yo no toque la config de noscript nunca, y estaba desactivada je).

Saludos!

]]>