noviembre 01, 2006 at miércoles, noviembre 01, 2006
Nueva chapuza en Firefox 2.0: su mecanismo anti-phishing

En este blog pongo las ultimas noticias de Firefox, soy un usuario de este gran navegador, pero eso no quiere decir que oculte los errores de seguridad que se presente. Una nota en Ha.ckers.org me puso hoy sobre aviso. "No puede ser, no puede ser", me dije. Pero me puse a comprobar todo punto por punto y los hechos son los que son, y demuestran -a mi modo de ver- que el actual mecanismo antiphishing de Firefox 2.0 no sirve para nada, puesto que cualquier sitio malicioso puede saltárselo sin más que codificar en hexadecimal la dirección del sitio. Y no, ni siquiera cabe el consuelo de pensar que Explorer 7 también pica... porque el navegador de Microsoft no se deja engañar por el método que a continuación paso a contarles...

Tomemos un sitio de phishing, clasificado como tal en la (por otra parte exigua) lista negra que Firefox parece utilizar. Por ejemplo éste:

http://200.119.135.99/ebay/login5878/

Si se introduce esta dirección en la barra de direcciones de Firefox 2.0, al poco rato salta la alarma anti-phishing. Hasta aquí, todo correcto.

Ahora, codificamos la dirección IP en hexadecimal mediante esta "calculadora".

En base a este resultado, reconstruimos ahora la dirección original, que adopta la siguiente forma codificada:

http://0xc8.0x77.0x87.0x63/ebay/login5878/

Copipasteamos ahora la nueva URL en la barra de direcciones y, sorprendentemente, Firefox 2 nos lleva al sitio falsificado, sin emitir esta vez ni un solo aviso de advertencia. Por tanto, ya saben los sinvergüenzas cómo saltarse la "protección" anti-phising de Firefox 2.0.

¿Me he equivocado en algo? ¿Acaso sus resultados no concuerdan con los míos? Porque si esto es así, Firefox 2.0 puede estar haciendo más daño del que parece, al dar una sensación de falsa seguridad a los usuarios, que es lo peor que -en mi opinión- puede dar un producto. Si uno navega con un browser inseguro, al menos sabe que debe andarse con cuidado, pero si lo hace con uno que se dice superseguro, puede sentirse tentado de bajar la guardia.

Y por cierto, hablando de tentaciones... No pude resistirme a probar todo esto en Explorer 7 (Vista RC1). Pues bien; Explorer 7 no pica, ya que sus alarmas saltan tanto con la URL normal como con la codificada (que automáticamente se convierte a la anterior).

Las comprobaciones de esta nota las he realizado en Firefox 2.0, tanto en Linux como en Windows XP, con idénticos -y preocupantes- resultados.

Por favor; que alguien me diga cuanto antes dónde me he equivocado. Esto no puede ser posible.

IORedixs Blog | Powered by Blogger | Entries (RSS) | Comments (RSS) | Designed by MB Web Design | XML Coded By Cahayabiru.com