Robo de contraseñas en Firefox

Acabo de añadir Firefox 2 en Mac OS X a los casos en que he comprobado la existencia del bug.

Ya realize la prueba con el Firefox 2, y en efecto el fallo se da.... sin embargo, cuando lo hago con opera no pasa nada.... osea..... opera rulez !!!

-- Saludos desde CR Zeus God

No, en Linux no pasa por lo menos a mí.

Hice la prueba con Firefox 1.5.0.8 tanto en Windows como en Linux, en el caso de Windows el bug se ejecuta, si elijo grabar el usuario y contraseña me envia a google y en la barra de la direccion aparece el usuario y el password, si elijo no guardar la contraseña va hacia google pero no aparecen los datos. En el caso de Linux no me redirecciona a google, va hacia la pagina en youtube donde esta el video.

Probé y en efecto mi login y password se muestran usando Firefox 2.0.

También hice la prueba en IE7 y este tambien va a dar a google, pero mis datos no se muestran en la URL.

En ambos usando WinXP...

Linux, No... Windows, cuando lo ponga lo pruebo :) Vamos a poner la nota... picante... Si lo he entendido bien... el bug es: Vas a una página que desconoces a bajar un vídeo... y para bajar un video, te piden usuario y contraseña... Empezamos bien... y yo claro, le daré el usuario y contraseña de mi banco, pues es la que uso para todas las cuentas... Pero no sólo eso, como soy comodón, le doy a recordar la contraseña... Si no hago todo eso, no funciona el bug... Curioso... O sea, está claro, este bug sólo afectará a usuarios de Windows, que vengan del Explorer y que usen Firefox... :D:D Que se vuelvan al explorer, hombre! :D:D:D Saludos, siempre viene bien una nota de humor... Hasta denmtro de un par de dias, que corrijan ese GRAVISIMO bug ;)

No es buen sistema negar las evidencias. Sí: bug en Firefox. La cuestión es que parece que no has entendido nada. No se te pide contraseña para descargar un video sino para loguearte en un sitio. El vídeo es solo un ejemplo de como al pulsar sobre _algo_ tu password de ese sitio vuela donde no debe. Y si lo quieres con ajax ni siquiera necesitas pulsar nada. ¿Te parece poco bug? ¿A que vienen ahora todas esas chorradas sobre windows?

Voyager, a pesar de dedicarte a la seguridad (¿?) tienes una escasa idea de lo que un bug de este tipo puede hacer, amplia las posibilidades mas haya del ejemplo expuesto y veras que se vuelve mas peligroso de lo que parece. Seamos un poquito más críticos y objetivos.

No he podido confirmar que funcione en Opera 9.10 (8653) la web a esta hora no carga.
Saludos.

Vamos a ver, que siempre se me lee por donde no se me tiene que leer, o quizá sea que no me explico lo suficientemente claro. El bug está ahí. Eso lo ve cualquiera, el matiz es la forma de llegar a ese bug. Es decir. para que la falla de seguridad salte, necesitamos saltarnos una de las normas más universalmente establecidas en el mundo de la seguridad como que las contraseñas de seguridad NO SE GUARDAN ni en el navegador, ni en un postit, ni en el escritorio, ni en la nevera con un imán. Punto uno, ya empezamos fallando en la metodología. Punto dos, se transmiten las contraseñas que enviemos en el formulario de la página atacante... Y? esas contraseñas son vitales? Si le pongo como usuario el nombre de mi perro, y la clave su fecha de nacimiento (contraseñas altamente seguras, por otro lado) se trasnmitirán a su dominio, de acuerdo, y? Bueno, hay que dar la razón que, según la LOPD conocerán un dato privado mío, sabrán el nombre de mi perrito y podran enviarle un hueso el día de mi cumpleaños. A donde quiero llegar, es, que vale, eso está ahí, pero técnicamente el bug es irrelevante, debido a que poco podrán hacer los atacantes con la información recopilado que está sólo en el ambito de su host. Pongámonos en el caso en que se trata de un pishing, y que el atacante usa ese bug para recopilar nuestras contraseñas. No sería más cómodo, para el atacante, simplemente recoger la clave en plano, y dejarse de historias? Pues tiene que contar con que el usuario le de al boton "recordar"... ya que estamos podríamos usar ingeniería social, y decirle al usuario "No olvide pulsar el boton recordar antes de enviar las claves", seguro que alguno picaría y el método funcionaría. Bueno, que a eso me refería. El bug está ahí, me parece acertada la frase de JMG de decir que técnicamente está en discusión, si es explotable o no, porque realmente es así. Este bug, a menos que me demuestren lo contrario. Saludos

No sé si lo he entendido bien ... 1.Resulta que yo envio un login y clave a un sitio web ... 2.Este sitio Web recupera el login y password que le estoy enviando y es capaz de enviarlo a otro sitio. Hombre, esto es algo que se puede hacer en cualquier programa muy fácil, tengo la contraseña y el password (¡se lo acabas de enviar!), y lo redirijo a otro sitio. El problema sería que pudiera acceder a las claves de otro sitio que no le he enviado, y según las pruebas que he realizado solo envia la clave del sitio en cuestion. Donde está el verdadero problema es si yo, como editor del sitio web A, incluyo contenido del sitio B (por ejemplo un video), y el sitio B es capaz de capturar los datos sin que el sitio A tenga constancia de ello.

Estuve viendo de qué se trata el problema. El truco es poner un cuadro de ingreso de usuario y clave, pero oculto (no visible). Entonces el navegador llena los campos automáticamente porque le hemos dicho que recuerde el usuario y la contraseña. La verdad es que es un problema dificil porque en realidad parece que está haciendo lo que debería... En todo caso la seguridad consistiría en no enviar campos tipo password a servidores diferentes del que generó la página, pero es bastante rebuscado... El problema es que supuestamente los navegadores tienen que hacer lo que les dice el html que recibieron...

Entiendo en parte lo que expuso Voyager, el bug existe, si, pero tampoco es grabe, quizas lo dijo de una manera un poco brusca o burlona. Si hay algo que hace mucho ya deberíamos de haber aprendido, es a no grabar las contraseñas, y con solo ese punto ya volamos por el aire el efecto del bug, en Windows claro, en Linux no necesitamos tener ninguna consideración.

El bug no es muy grave, sobre todo porque requiere que el "atacante" tenga posibilidad de escribir html en la página que estas viendo. Obviamente es muy difícil que pase eso en la página de un banco. Sí podría ocurrir por ejemplo en un webmail, si es que recibes mensajes en html y si haces click en algún botón de envío contenido en el mensaje. Y obviamente los más afectados podrían ser foros, siempre y cuando permitan introducir html en los mensajes.

... manque pierda! Si a FF se le "escapan" las contraseñas, no pasa nada; la culpa es del usuario por guardarlas. Entonces FF es inseguro por permitir guardarlas ¿no?

Si, y Firefox también es ilegal porque con él puedes acceder a páginas de pornografía infantil. Habrase visto...

Si alguien es capaz de usar el certificado digital de otro, por estar los dos en un mismo contenedor de software del navegador, es culpa del usuario, no de Hacienda que le obliga a meterlo sin decirle que corre peligro. Pero ojo, tampoco le avisa el navegador que eso es peligroso, que bien podría hacerlo, pero nos limitamos a decir que es culpa del usuario por un mal uso del certificado.

Aquí parece que pasa lo mismo. Algo no funciona como debe y la culpa es del usuario que debe saberlo y evitarlo, aunque realmente sea un problema del sistema que permite algo que no debería permitir bajo ningún concepto.

¿Recordamos eso de seguridad frente a comodidad?. Dos conceptos que sin duda no se deberían mezclar o ponderar nunca uno frente al otro. Mezcla que ha llevado a que el e-dni tenga una única contraseña para los dos certificados o a que no se asocie la introducción de una contraseña a una única firma. Luego, si hay problemas con el sign-phishing, no es que lo hayan puesto fácil, la culpa es del usuario que ha usado mal su e-dni, que para eso la Ley le hace responsable de su uso.

Pues señores, sigo diciendo que esto no es de recibo, se pongan como se pongan los "expertos" en la materia.

Grave fallo de diseño en PKI compromete las firmas digitales

El caso es que hay sistemas que no son a prueba de "tontos" y permite cosas que no deberían permitirse y punto. Pero en este caso es un bug como una casa, que puede hacer que te roben un nombre de usuario y una contraseña, así como si nadie quiere la cosa.

En temas de seguridad informática es fácil echarle la culpa al usuario, pero no todo el mundo sabe lo que Bruce para no meter la pata. La tecnología ha de ser para todos y mucho más user-friendly de lo que es ahora. Eso no significa solamente comodidad, significa que el usuario no se tenga que preocupar nada más que de los aspectos mínimos de seguridad y funcionamiento. No se puede hablar de seguridad si hay que aprenderse de memoria un decálogo, eso son muchas normas para el usuario medio.

El usuario solamente debe saber dos normas para usar un sistema con seguridad, el resto, lo debería hacer el sistema por él mismo:

Las normas son:

a) No entregar el nombre de usuario o el certificado

b) No entregar la contraseña.

Todo sistema que requiera más que estas normas, se puede decir que es defectuoso en diseño o que en su diseño se han tenido en cuenta otros criterios bien distintos a la seguridad del usuario.

En resumen , lo que hace falta es menos comodidad y más seguridad intrísnseca y para los que toman las decisiones de diseño, que sepan que no todo el mundo sabe lo que ellos, por lo que las aplicaciones deberían contemplar que ese hecho es una realidad palpable y por lo tanto, deberían obrar en consecuencia.

"Copyleft 2006 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Cuanto más se minusvaloren los bugs de Firefox y más medios los silencien, más tiempo pasarán en lo más alto de la portada de Kriptópolis.

A la seguridad no nos aproximamos por el silencio ni la oscuridad, sino por la exposición de los fallos, condición previa para que hagan menos daño y sean solucionados antes.

En Secunia lo valoran con un 2 "less critical" (menos crítico) Deberiamos presionarles para concienciarles de que es por lo menos un 5!

Primero fue el javascript. Hay páginas mailgnas. Nada pues se instala el Noscript y adelante (Lo tengo instalado, pero no lo uso porque es un coñazo. Yo ya se donde me meteré o no) Después el bug de como burlar el antiphising de Firefox 2.0. Pues nada no nos podemos fiar del antifishing Ahora nos roban las contraseñas. Pues nada, se desactiva la opción de guardar contraseñas (nunca la he tenido activada, tampoco en Thunderbird) y santas pascuas.... uf, que mal rollo, Vamos, a mi me gusta bastante firefox, pero le están dándo una somanta de palos uno tras otro. Esperemos que todo esto sirva al menos para que realmente mejore la seguridad del navegador.

Será porque no han leído a Voyager ;)

Luisfe: Si a dia de hoy te molestas en visitar las famosas paginas de phishing que aparecieron aqui con IE7 y Fx2, puedes llevarte una sorpresa. Fern: Mozilla habla de bugs, Secunia de vulnerabilidades.

El usuario solamente debe saber dos normas para usar un sistema con seguridad, el resto, lo debería hacer el sistema por él mismo: Las normas son: a) No entregar el nombre de usuario o el certificado b) No entregar la contraseña. Todo sistema que requiera más que estas normas, se puede decir que es defectuoso en diseño o que en su diseño se han tenido en cuenta otros criterios bien distintos a la seguridad del usuario.

Justamente con solo esas consideraciones... el bug en cuestion no deberia de causar problema alguno... o sea, todo el texto que escribiste, lo desestimaste con esas líneas. Y vuelvo a repetir, asi como lo hicieron varios, el bug existe, de eso no hay dudas, pero no es tan crítico como lo quieren hacer ver.

porque FF2 iba a ser la bomba pero nos estamos desayunando cada semana con un bug distinto que curiosamente no afectan a IE7.

Fern, el bug de la semana de IE7, tocó hace unos días: http://secunia.com/advisories/22477/ ;)

Estimado WolverinX ¿crees eso?, veamos. Yo no le he dado el nombre de usuario y la contraseña a nadie, es decir he seguido las dos reglas básicas para usuarios "torpes", pero sin embargo, al poco tiempo aparecen en manos de otro por arte de magia. En este punto tengo claro que tengo un fallo de seguridad que me puede complicar la vida de alguna manera. Ahora la solución pasa por desactivar esta funcionalidad, pues ya es algo distinto a las dos reglas de oro y que depende de que el usuario sepa lo que tiene que hacer y además sepa hacerlo. Decir que eso no es grave o que no es un problema, creo que es algo aventurado. Yo digo que depende de lo que abra mi contraseña y mi nombre de usuario o si te la han logrado quitar o no. Si es el nombre de usuario y la contraseña de mi cuenta del banco, pues que quieres que te diga, creo que tendré un problema y grave. De hecho, cuando he visto la noticia me he preocupado y mucho... afortunadamente soy usuario de Linux. Considerar crítico este bug, es una cuestión de matices y prioridades en el concepto personal de seguridad. Desde mi punto de vista creo que es suficientemente grave como para merecer toda la atención del equipo de desarrollo. "Copyleft 2006 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Fernando, al guardar las contraseñas en el navegador le estas dando a alguien tu usuario y contraseña.Ya lo guardas fisicamente... por tanto, es perfectamente desencriptable, utilices el medio que uses. Lo más seguro es "usar y tirar", es decir, que lo uses y no lo guardes, pero no sólo en firefox, en cualquier cosa que uses. Pero bueno, si consideras que guardar las contraseñas (donde sea, me da igual el medio) es seguro, no hace falta que hablemos más :) (No es que no quiera seguir hablando, es que no llegariamos a un punto comun jamas) :D Saludos

pos la verdad si es cierta esta noticia.. y pos sorprende la verdad o por lo menos a mi

 por cierto disculpen el abuso..

hace poco me cree un blo si algin desea pasearse por alli es este:  http://www.tuculturaweb.blogspot.com/

 espero que lo visiten y me apoyen aun estoy comensando

saludos a todos y muy buena esta anecota, saludos

Creo que la tiene. No hay que darle un 5. No permite ejecución de código arbitrario (como sí lo permite el bug que he recibido de hispasec, por ejemplo: http://www.hispasec.com/unaaldia/2952. Peazo bug, eh?), ni escalación de privilegios ni nada por el estilo.

Dicho esto, me parece evidente que sí que tiene su gravedad. Un usuario consciente de la seguridad sabe (porque le hn educado para ello) que no debe meter las contraseñas en ningún sitio. Un usuario normal y corriente no lo sabe. Motivo por el cual los navegadores (todos ellos, no solo IE y FF) incorporan funcionalidad para recordar contraseñas. Porque les es útil, porque lo quieren.

 Es igual que los sistemas Single Sign-On que proliferan en las empresas. Ni más ni menos que almacenar tus passwords en un sitio central. Si todo va bien, fantástico. Nos proporciona un servicio útil. Si es vulnerable, la cagamos a lo grande.

 Con todo y con eso, el bug no es tan pequeño como creo que Voyager dijo. No es necesario que alguien meta un usuario y una password en la página del "atacante", sino qu e el sitio permita meter HTML, lo que habilita a cualquier "atacante" a poder ejecutar el ataque. Hay bastantes foros y blogs por ahí fuera que lo permiten. De modo que aunque no es un 5, es grave y debe ser solucionado con rapidez.

O sea que FF está hecho por seres humanos que ya se sabía pero hay gente que se olvida.Yo no se si es un bug, pero lo que está claro que ningún usuario normal se le ocurre que si dices a TU navegador que guarde la contraseña, este se la va a enseñar a todas las webs que visites y sepan como pedirla. Yo siempre contestaba que no la guardase pero por pura paranoia de que alguien se sentase en el ordenador y entrase como mi persona haciendome quedar como un tonto (por ejemplo que mi sobrino me suplantese en wikipedia). Ahora ya tengo un motivo aún más serio. Las claves siempre en el coco y generadas con un algoritmo recordable como los de poner un numero cada tres letras o usar las primeras letras de las palabras de un refrán o... (no digo más porque sino tendré que cambiar de sistema). Yo de todas formas me niego a operar con banca en casa a pesar que precisamente ayer el director de la sucursal me dió una charla sobre que ahora en vez de teclear las claves se han de cliquear con ratón y que han implementado un sistema por el que cada clave de la tarjeta solo se usa una vez y cuando se han usado todas, te dan otra que se ha de pasar a recojer a mano a menos que digas lo contrario. Pero prefiero no saber lo que tengo que arriesgarme a dejar de tenerlo porque quizás alguien se ha pistado de como se generan las claves o tiene un primo que hace los sobres o cualquier cosa.

Desde el punto de vista estricto de la seguridad máxima deseada, tienes más razón que un santo, aunque matizo que guardar las contraseñas en un lugar, que en teoría debería ser razonablemente seguro, no es exactamente igual que darles las contraseñas a nadie. Ahora se podría discutir lo que consideramos o no razonablemente seguro, pero como bien dices, no vale la pena. Con ello digo que es cierto que guardar las contraseñas, en un lugar distinto que la cabeza, implica cierto riesgo y que dicho riesgo puede ser muy variable. Pero lo mismo ocurre con usar el mismo nombre y contrraseña para todos los sitios, una contraseña corta o con el nombre de tu perro que tiene tres letras, etc. etc.

No me interpretes mal, que no quiero quitarte la razón que reconozco que tienes. Es cierto y estamos ante un claro caso de seguridad frente a comodidad. Si queremos seguridad hemos de renunciar a la comodidad y en base a ello, mantener en la cabeza un gran número de contraseñas distintas de 24 caracteres alfanuméricos aleatorios, algo casi inviable para el 99,9999% de los usuarios.

Es evidente que para el 99,9999% de los usuarios esto no es práctico o si me apuras no les parecerá ni siquiera razonable. ¿Por lo que no sería más razonable el eliminar esta funcionalidad de los navegadores?. Bueno, alguien dirá que si el sistema funciona bien, no debe haber ningún motivo para ser un problema y por lo tanto, para eliminar esta funcionalidad que muchos usuarios consideran práctica. Ahora bien ¿Se puede mejorar para que además de no tener este fallo sea además más segura y aceptable?, estoy seguro que sí ya que hay un uso muy similar para algo más sensible que la contraseña y el nombre de usuario.

Un punto intermedio sería almacenar estas contraseñas de forma razonablemente segura (repito, comparto tu idea de que lo mejor, lo best de lo best es mantenerlas en la cabeza y asegurarse de no hablar dormido). Para ello, se pueden usar métodos más o menos seguros desde aplicaciones como KeePass, pasando por una caja fuerte, al simple almacén que proporciona el navegador o el trozo de papel en el escritorio. Que conste y repito, no estoy defendiendo que almacenar las contraseñas en el Navegador sea seguro o lo más razonable.

Pero como he adelantado antes,  lo mismo podemos pensar sobre la utilización del contenedor de claves del navegador para guardar nuestras claves PKI. En este caso muchos de los presentes no lo perciben como algo "inseguro". Pero seguramente un paranoico como yo, las tendría almacenadas en otros sitio (aquí no cabe la posibilidad de almacenarlas en la memoria) y las instalaría y desinstalaría en el navegador cada vez que las queisera usar, por si falla el sello del contenedor de software (recordemos que en el contenedor están las claves sin proteger mediante contraseña, por lo que si alguien las saca de allí, las puede usar sin restricciones).

Incluso hemos visto que si se meten claves de dos personas en un mismo contenedor de software o hardware, cualquiera de los dos que tenga acceso al mismo, puede usar indistintamente cualquiera de las claves que contiene.

Que es un mal uso por parte del usuario, pues estrictamente sí, pero los sistemas deben tener en cuenta estas cosas, así como los conocimientos de los usuarios que hacen uso de ellos, de otro modo, se produce el desastre.

Ahora bien, en el caso que nos ocupa, el usuario no espera este comportamiento anómalo un programa que escupe las contraseñas a la mínima de cambio y sin su conocimiento. Esto es pasar de un riesgo asumuble o aceptable a daño demostrado, sin pasar por una amenaza previa, es decir, el escenario más catastrófico posible.

"Copyleft 2006 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

A alguno también le podía parecer que el bug de Mac que regoge hispasec no tiene importancia, puesto que afecta a muy poco usuarios (los de Mac) y requiere determinadas condiciones maliciosas para producirse. Ergo como to el mundo es bueno y la culpa es de los usuarios (verdad, voyager?) pues aquí no pasa nada.

Fernando, increiblemente hemos llegado a un punto común en que ambos estamos de acuerdo. De hecho yo uso habitualmente Keepass, a quien cambio semanalmente (a riesgo de que mi paranoia a veces me diga que es poco) la clave maestra de 30 dígitos que suelo poner para entrar al programa... Como te decía, ni eso lo veo seguro... :D En fin, que tu también tienes razón, no es lógico que el navegador "escupa" las claves a la primera de cambio, pero a mi modo de ver, y eso ha quedado claro que lo compartimos, no es lógico tampoco recordarlas y esperar que eso sea un acto seguro. Por tanto, el bug existe, será arreglado, pero quedaba ese "regustillo" dialéctico que me ha gustado mantener con vosotros (como siempre) sobre "filosofía y seguridad" :D:D Saludos a todos...

fern, siendo estrictos, el bug de Mac no tiene trascendencia (que no importancia), no confundamos términos ;)

Hola he probado con: Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.8.1) Gecko/20061010 Firefox/2.0, Funcionando bajo Linux Mandriva 2006 actualizado al día de la fecha y obtengo esto: heise Security browsercheck This is part of the Heisec demo for password stealing in Firefox Your login data are: username: pepe password: kjsdkwlhndsfds If your login data are shown, they have been sent from the original UK page to this heise page in Germany. Of course they could have been sent anywhere. "Copyleft 2006 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

>--KaAzAdOr-->

Para que ocurra el bug hay que pedirle a Firefox que recuerde el pass verdad? En mi caso, como todavia tengo memoria, jamas elijo recordar contraseñas, por lo que supongo no me tendria que afectar este bug. O existe otra forma de que ocurra??

El bug no te afecta pero a Firefox sí.

Gracias...

Diantres, alguien puede robar mi contraseña y acceder a los archivos sobre la bomba J con la que planeaba destruir el mundo el domingo en la mañana!!!

Debere usar otro navegador, o tal vez guardarlas en otro lado...

Ahora fuera de bromas, como recomendacion general, las contraseñas muy importantes, en la cabeza estan mas seguras, y las que son asi como que no valen mucho, pues en el navegador, que no importan mucho y si te la roban, pues te registras otra vez y ya puedes postear en xxxxx.com