Si se busca en Google la dirección que he puesto en la noticia, se obtiene una larga lista de contraseñas de FTP. Atención al bug, es muy grave, y es sólo una pequeña muestra del peligro de nuestros datos personales en manos de una empresa. Ya lo he reportado, pero creo que es interesante que se sepa.
|
etiquetas: bug , ftp , contraseñas , passwords , ftp passwords , contraseñas ftp , google
Aunque el navegador muestra la url recortada en la barra de direcciones, aunque envía bien el referer... luego va y le pasa la URL entera al puto Flash. Sólo Opera se salva:
- MSIE 6.0: ftp://usuario:contraseña@sitio.web
- Firefox 2.0.0.4: ftp://usuario:contraseña@sitio.web
- Konqueror 3.5.6: ftp://usuario:contraseña@sitio.web
- Opera 9.21: ftp://usuario:––-@sitio.web
Que alguien me lo explique
Por lo visto YouTube registra todos los lugares desde los que se reproducen sus vídeos. Pero las contraseñas... manda huevos.
PD: en 40 mins en portada, no está mal
El tema es que creo que lo mejor no es proclamar esto a los 7 mares, sino al interesado principal que es google y youtube a la vez, no??
Puede haber personas que por el simple hecho de ver datos propios publicados por tí, tb cojas parte del cotarro, no se, es una duda que me surje.
salu2
Por lo que veo no son sitios que estén alojados o pertenezcan a dominios de google.
Alguien que suba vídeos a youtube sabe si en algún momento hace falta informarle la contraseña de algo ?
Esto podría incluso destapar algo mas gordo, como que google este almacenando datos que no le pertenezcan y lo haga sin el conocimiento de la persona de las que los obtiene.
No se, es todo muy muy raro.
ftp://semihdede21:213349419@208.64.38.23/cafetuana.somee.com/images/tech2.png
Los navegadores mandan una información en la cabecera del modo "Referer: meneame.net/story/error-muy-grave-de-google ", que es de donde YouTube (o la web que sea) obtiene la URL desde la que se ha llegado (si no ha sido directo). Osea, el pifiazo es del navegador por mandar en esa URL un nombre de usuario y una contraseña.
No es porque sean inútiles sino porque tienen una estructura compleja y reciben peticiones de muchísima gente, la mayoría equivocadas, estúpidas e inútiles.
Publicarlo ciertamente hace que sea mas conocido y mas gente acceda a los datos erróneos, pero a su vez hace que el problema tenga mas prioridad y se solucione muy rápidamente.
De otra forma, las 4 o 4.000 personas con el privilegio de conocer ese bug pueden estar usándolo durante meses y el daño puede ser aún mayor.
La repercusión y por consiguiente el ridículo que pueda sentir la empresa afectada puede generar una mayor concienciación por el resto de empresas que también podrían tener problemas similares y ser mas activos con el tema (si si ya ya ... pero soñar es gratis).
Es decir, cuantos enlaces a youtube puedes encontrar en ftps ?
#30, que sí, que es tu postura y me parece estupendo, pero que la existencia de tal o cual web no la legitima.
El inútil es el usuario que navega por ftp's a través de su navegador, y el navegador que envia tal información plana, de hecho, es el própio protocolo ftp el que carece de seguridad.
Edito: Google ha publicado un error por error, curioso :-), de todas formas el origen es lo que importa. Y si son los navegadores es culpa del navegador y de nadie mas.
Ahí aparecen un montón de direcciones de ese tipo:
ftp://usuario:contraseña@ftp.dominio.com
y si accedes a ellos, en teoría, con ese usuario, y esa contraseña accedes a contenidos protegidos en ese dominio.
Seguro que he usado lenguaje y términos equivocados, corregidme sin compasión.
Lo que vemos raro es que google obtenga esa información de ftps que no son suyos. Es decir, quien le hace llegar esa información ?
La teoría mas plausible es que son los navegadores. Si vienes de un ftp el navegador envía todos esos datos, incluida contraseña!, como referer al servidor web al que vas. Lo dicho, es una teoría.
Si fuera así la culpa sería del navegador, no de google que solo estaría mostrando un dato que no es confidencial (el referer no esta considerado como un dato sensible a nivel de seguridad, faltaría mas).
youtube.com/watch?v=Bz7Tfjns7ZM
Ya les vale
No lo entiendo, me sigue pareciendo muy raro.
En que momento se manda esa información ?
Me parece más bien un grave problema del navegador que haya dejado escapar esa información que no de Youtube.
Pero eso de "clicks from" sale en youtube al darle a "links" (debajo de "Views: 345 | Comments: 0 | Favorited: 2 times")
En los que he mirado han eliminado los que han enlazado desde ftps, pero quedan desde "file: ///" como este ejemplo: www.youtube.com/watch?v=k0bmi__T7p8&mode=related&search=#
Al que han accedido desde sitios como:
file: ///C:/Documents%20and%20Settings/Bernard/Local%20Settings/Temporary%20Internet%20Files/FrontPageTempDir/pvw12
El vídeo que citas, y en el que se explica el problema, es del día 17 de Junio. Es decir, de hace 6 días. ¡Y el problema sigue allí!
Parece que ni denunciándolo en público lo arreglan... :-?
Te corrijo: Macromedia Flash libre ya
(hay substitutos libres, lo se, pero están en bragas)
Edito: si Opera no lo hace será que tampoco es cosa del flash, sino exclusivamente del navegador (aunque solo lo haga cuando usa Flash). A ver cuanto tardan los navegadores en arreglarlo, sera divertido ver cual es el primero y cual se equivoca tres veces antes de hacerlo bien.
Venga, para que todos se queden contentos "Error muy grave en Google"
Si no me equivoco esto sería como si tienes en una página de tu web datos privados sin un robots.txt que evite que los buscadores indexen esas páginas y zas, los buscadores indexan datos privados tuyos ¿problema de los buscadores?. Vah, más o menos.
Con respecto a hacer público el error mejor era hacerlo público pero una vez resuelto, se evitarían juankers jugando . Google hasta ahora parece que ha atendido los comunicados de todo tipo y con todas las vulnerabilidades se hizo así.
Pero bueno, cada uno con su modo.
(Si falta precisión, sigo aclarando que mis conocimientos de informática son muy limitados)
P.D. puse la contra de la tarjeta.... se supone ke no problemo, de toas formas los del banco man disho ke okey.
saludos de antetodo.
#59 Creo que no te has enterado muy bien. Cuando dicen que Ópera no devuelve los passwords no se están refieriendo a los resultados de Google. Obviamente en todos los navegadores el contenido de una página es el mismo.
Esto debería arreglarse en todos los navegadores, de manera que no se manden contraseñas de FTP a ningún objeto embebido, ni Flash ni de ningún otro tipo, ya que a través de un objeto embebido esa información puede salir fuera de la página (como pasa en este caso, en el que esa información llega a los servidores de YouTube).
En cualquier caso, no creo que el usuario tenga la culpa de esto, como se ha dicho más arriba. El usuario tiene pleno derecho de hacer lo que le plazca en su FTP, y si quiere ejecutar una página desde el FTP pues que lo haga. El usuario no tiene por qué adivinar que su password se va a enviar a través de Flash sólo por acceder desde FTP. De hecho, hasta ahora nadie sabía que esto podía suceder. Qué manía con echar la culpa siempre al usuario.
Cuando decimos que son los navegadores los culpables (excepto Ópera) es porque son los que envían la URL completa con el password a los objetos Flash de YouTube cuando estos se encuentran embebidos en páginas a las que se ha accedido mediante FTP. Estos objetos embebidos de YouTube son los que envían estas URL de FTP al servidor de YouTube.
Y una vez que esta información está asociada a los vídeos de YouTube, Google indexa todas esas direcciones, incluídas las que tienen passwords de FTPs.
Por último, al hacer esa búsqueda de Google, todos los navegadores (incluído Ópera, pues lo único que hace es mostrar lo que le envía Google) muestran esos passwords, pero el problema no está en este último paso (en el que como bien dices "los navegadores muestran lo que Google les da sin proteger") sino en el primero, en el que algún navegador envió el password a YouTube cuando alguien accedió desde su FTP. No es culpa del protocolo FTP, como tu dices.
#55 Bonito discurso demagogo
Google se limita a poner ahí de dónde ha venido la gente, es decir, el campo "referrer" de las peticiones al vídeo. Lo lógico es que no ande mirando si en ese campo hay información que debería ser protegida, eso es responsabilidad del navegador. Y lo que es una burrada es hacer un navegador que mande tus contraseñas de FTP en el campo referrer (por texto plano) a un servidor distinto del servidor de FTP (podría ser youtube o cualquier otro).
Hay muchos blogs, CMS's y otras webs que tienen sistemas parecidos para llevar cuenta de los referrers. El fallo se ha visto en youtube porque es muy grande y la probabilidad de que se dé el problema es mayor; pero seguro que puede pasar en muchas otras webs y, repito, el fallo es del navegador que usaron esas personas.
Es triste.
Los que cometen el error son los navegadores web que le dan al plugin flash una contraseña que no deberían y este la envía a google (youtube).