El otro día se publicaba en Un informático en el lado del mal que Apple Safari e Internet Explorer eran los únicos que mostraban un aviso cuando se pretendía enviar en un iframe una contraseña HTTP, que podría ser utilizada en un esquema de clickjacking que enviara las contraseñas en la URL. En ese artículo, tanto Google Chrome como Mozilla Firefox no mostraban ninguna alerta de seguridad, mientas que Apple Safari sí que lo hacía.
Figura 1: Alerta de Apple Safari en URLs con passwords HTTP |
Queríamos probar el último de los navegadores de Internet más populares en plataformas Mac OS X, por lo que hemos hecho la misma prueba en un Opera Web Browser 12.15 sobre OS X Mountain Lion 10.8.3. Para ello hemos creado el siguiente archivo HTML, en el que se envía por HTTP una contraseña al servidor web de Seguridad Apple.
Figura 2: iframe con URL usando password en HTTP |
Tras abrir el navegador con el iframe, se puede ver que el sitio se carga perfectamente, y la credencial ha sido enviada por la URL, quedando el usuario y la contraseña expuesta sin conocimiento del usuario.
Figura 3: Opera Web Browser para OS X no alerta de nada |
Por supuesto es solo una protección más que podría defender al usuario de ataques Client-Side, pero el único que la tiene en sistemas OS X es Apple Safari. Curioso.
En Firefox no carga directamente el iframe y si cargas la URL a mano te da aviso también.
ResponderEliminar@anónimo, hemos probado el mismo archivo con la última versión de Firefox y no da ninguna alerta. Solo la da si lo pones en la barra. Haz la prueba tú mismo.
ResponderEliminarSaludos!