Menú principal

martes, 16 de abril de 2013

Sólo Safari en OS X avisa del envío de passwords HTTP

El otro día se publicaba en Un informático en el lado del mal que Apple Safari e Internet Explorer eran los únicos que mostraban un aviso cuando se pretendía enviar en un iframe una contraseña HTTP, que podría ser utilizada en un esquema de clickjacking que enviara las contraseñas en la URL. En ese artículo, tanto Google Chrome como Mozilla Firefox no mostraban ninguna alerta de seguridad, mientas que Apple Safari sí que lo hacía.

Figura 1: Alerta de Apple Safari en URLs con passwords HTTP

Queríamos probar el último de los navegadores de Internet más populares en plataformas Mac OS X, por lo que hemos hecho la misma prueba en un Opera Web Browser 12.15 sobre OS X Mountain Lion 10.8.3. Para ello hemos creado el siguiente archivo HTML, en el que se envía por HTTP una contraseña al servidor web de Seguridad Apple.

Figura 2: iframe con URL usando password en HTTP

Tras abrir el navegador con el iframe, se puede ver que el sitio se carga perfectamente, y la credencial ha sido enviada por la URL, quedando el usuario y la contraseña expuesta sin conocimiento del usuario.

Figura 3: Opera Web Browser para OS X no alerta de nada

Por supuesto es solo una protección más que podría defender al usuario de ataques Client-Side, pero el único que la tiene en sistemas OS X es Apple Safari. Curioso.

2 comentarios:

  1. En Firefox no carga directamente el iframe y si cargas la URL a mano te da aviso también.

    ResponderEliminar
  2. @anónimo, hemos probado el mismo archivo con la última versión de Firefox y no da ninguna alerta. Solo la da si lo pones en la barra. Haz la prueba tú mismo.

    Saludos!

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares