lunes, abril 07, 2014

Google Chrome aún no alerta de passwords enviadas en URLs

Hace ya tiempo que, cuando aún andábamos por Informática 64, publiqué un artículo sobre la desprotección que había en ciertos navegadores cuándo se pedía una URL en la que se envían el usuario y la contraseña. Esto es una forma de explotar ataques CSRF que abusen de dispositivos que cuenten con contraseñas por defecto. En aquel entonces os contaba que tanto Microsoft Internet Explorer, como Apple Safari tenían una protección basada en una alerta de seguridad que se muestra al usuario. Esta es la que aparece en Apple Safari. En aquel entonces ni Google Chrome, ni Mozilla Firefox tenían esa protección.

Figura 1: Alerta de envío de passwords en Apple Safari

Ahora, en la lista, como me alertó mi compañero Ricardo, se ha quedado solo Google Chrome, ya que Mozilla Firefox SÍ que ha añadido esta alerta, tal y como se puede ver en la siguiente captura.

Figura 2: Mozilla Firefox ahora alerta del envío de passwords en las URLS

Esta alerta existe en cualquier situación en la que vayan credenciales, incluso cuando se envía el usuario y la password a un sitio que no lo está requiriendo. Se informa de esto para que el usuario tenga la mayor información posible ya que esto puede ser más peligroso aún.

Figura 3: Mozilla Firefox alerta también cuando se envía a sitios que no lo piden

Google Chrome sigue sin alertar de nada, lo que no parece tener mucho sentido desde el punto de vista de seguridad, así que vaya este post para llevar una cuenta de cuánto tarda en añadirlo.

Saludos Malignos! 

2 comentarios:

  1. Tengo un sitio que antes aparecía esa alerta de seguridad en Chrome. ahora ingresé y ya no aparece.

    ResponderEliminar
  2. El componente Control WebBrowser de Internet Explorer, utiliza este método para realizar las autenticaciones básicas, ya que no muestra la ventana de acceso... no se lo digamos muy alto, porque a mi me viene de lujo que siga así =D

    ResponderEliminar