| Artículos | 01 MAR 2002

Seguridad

Tags: Histórico
Daniel Avila.

Daniel Ávila Rubio
davila@idg.es

Las cookies vuelven a ser el protagonista de esta sección, y es que, desde que se crearon hace unos años, siempre han sido fuente de problemas. Además, el portapapeles también puede ser inspeccionado por algún hacker que aproveche el segundo fallo.

Vulnerabilidad: cookies accesibles en Internet Explorer
Las cookies o galletas usadas por los navegadores no son más que pequeños ficheros de datos que guardan información de un sitio que se ha visitado en el disco duro del cliente. Normalmente son usadas por los portales Web para recordar datos de sus visitantes como el nombre, dirección IP, hora, etc., con el fin de generar estadísticas.

El funcionamiento de los navegadores no permite enviar la información de cookies a un sitio para el que no hayan sido creadas, es decir, si www.idg.es crea en su disco duro una cookie en la que guarda información personal (nombre de usuario y fecha de entrada) no debería ser posible que otro sitio www.competencia-idg.es pudiera leer esta información cuando el usuario entra en el segundo portal después de haber visitado el primero.

Existe una vulnerabilidad en Internet Explorer que permite que un portal web malicioso pueda recoger información de los usuarios que accedan a él mediante la recolección de cookies usando el fallo comentado en este artículo.

Técnicamente, el fallo se encuentra en el procesamiento incorrecto de las direcciones URL que comiencen con la palabra clave "about", que el navegador las procesa como una página web normal sin chequear su procedencia. Por ejemplo, con la línea de dirección: about://www.idg.es/<scriptlanguage=JavaScript>
alert(document.cookie);</script> se accederá a las cookies procedentes del dominio usado.

Solución
Este fallo no afecta a la última versión de Internet Explorer 6.0.26 y superiores, por lo que si tiene una versión inferior a ésta es recomendable que actualice cuanto antes su navegador descargando la última actualización de www.microsoft.com/ie. La versión de Internet Explorer suministrada con Windows XP no es vulnerable.

No obstante, existe una página web donde puede probar si su navegador es vulnerable. En concreto, la dirección es www.solutions.fi/iebug. En ella deberá introducir la URL de un portal que use cookies al que haya accedido recientemente (www.idg.es, por ejemplo) y comprobará si es posible acceder a su contenido o no.


Vulnerabilidad: lectura del portapapeles desde IE5

Existe un problema en Internet Explorer 5 que puede permitir al administrador de un sitio web malicioso acceder a la información contenida en el portapapeles del usuario. Esto puede dar lugar a una divulgación de información, en algunos casos incluso datos confidenciales.

Microsoft Internet Explorer 5 proporciona a las aplicaciones web funciones de acceso al portapapeles. IE5 implementa un objeto, clipboardData, que proporciona acceso a la información del portapapeles a scripts. Este objeto se proporciona para permitir el almacenamiento temporal de datos y manipulación del portapapeles por aplicaciones legítimas, como facilitar las operaciones de arrastrar y soltar.

Lamentablemente, esta posibilidad puede provocar un potencial problema de divulgación de información sensible a un sitio web malicioso. No se puede considerar como una vulnerabilidad, aunque sí se trata de un comportamiento peligroso. El navegador implementa opciones para desactivar este comportamiento, sin embargo por defecto se permiten estas operaciones sin consultar al usuario.

Solución
Para deshabilitar esta funcionalidad se recomienda desde el menú Herramientas seleccionar la opción Opciones Internet·Seguridad·Seleccionar Zona·Personalizar Nivel. Bajo Archivos de comandos deshabilitar Permitir opciones de pegado o configurarlo para Pedir datos si se desea que se informe cuando este tipo de operaciones vaya a ser realizado.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información