> en Flash","link":"https://xombra.com/index.php?do/noticias/nota/3055/op/4/t/vulnerabilidad-silen","image_url":"https://xombra.com//images/logo.png","type":"Article","post_id":"3055","pub_date":"Aug 30 2007 10:50:12","section":"Article","author":"Xombra WebSite"}">Vulnerabilidad Silenciosa << cookies >> en Flash - xombra.com

Vulnerabilidad Silenciosa << cookies >> en Flash


En el siempre recomendable 503 Service Unavailable, he encontrado hoy una nota interesante sobre un tema que desconocía. Resulta que el plugin para poder visualizar Flash en nuestro navegador tiene la curiosa característica de almacenar en nuestro disco duro ficheros, a modo de cookies, que contienen referencias a los sitios que visitamos y al parecer sirven incluso para ser identificados ante ellos. Es decir, unas "cookies" en toda regla, multinavegador y sin fácil control, almacenadas en el directorio .macromedia de nuestra carpeta personal en máquinas Linux...





Merece la pena leer el hilo de discusión (en inglés) que ha contribuido a sacar a la luz este hecho para quienes lo ignorábamos. Se trata de alguien que, tras borrar cuidadosamente todo su historial de navegación y sus cookies tanto en Firefox como en Opera, seguía siendo identificado y automáticamente logueado en un chat cada vez que lo visitaba. Llegó a recurrir a proxies, a Tor, etc., pero aún así seguía siendo identificado.

Resulta cuando menos curiosa esta forma de hacer las cosas por un simple plugin, que ni siquiera proporciona algún tipo de opción al usuario común para que pueda configurarlo de otra manera.

Eso sí; parece que desde una página de Adobe (y utilizando Flash) puede configurarse para que deje de escribir al disco, pero entonces es probable que aparezcan problemas al visualizar ficheros Flash.

En cualquier caso, y de no querer (o poder) prescindir totalmente del soporte Flash, no parece mala idea borrar de vez en cuando algunos de esos ficheros que se adhieren a nuestro disco sin pedir permiso, aunque -ojo- existe también el riesgo de borrar ficheros de configuración del plugin.

Entre los comentarios de algunos de los usuarios de Kriptopolis se cuenta:

Comentario:
"En la página de Adobe que apunta el autor hay tres opciones para permitir o denegar a sitios el utilizar estas X. Pero no me deja seleccionar ninguna. Os funciona a vosotros?

En la página lo explica tal que así:

To specify privacy settings for a website, select the website in the Visited Websites list, and then change its privacy settings as desired. The following list explains the privacy options:

* If you want to specify whether to allow or deny access to your camera and microphone every time the selected website tries to use them, select Always Ask.
* If you want to allow access to your camera and microphone every time the selected website tries to use them, and you don't want to be asked again, select Always Allow.
* If you want to deny access to your camera and microphone every time the selected website tries to use them, and you don't want to be asked again, select Always Deny."

Comentario:
no son cookies

Se llaman "Shared Objects" (aunque de shared poco) y como programador flash que soy si que las conocía. Son ficheros sin encryptación alguna por lo que no deberían de usarse para loguear a nadie pero la verdad entrañan poco (o eso creo) peligro (a menos que se encuentre un exploit).

Cada Shared Object (SO) va asociado no a una página, si no a un archivo SWF diferente (de hecho, diferencia entre sin www y con www). Lo que implica que dos archivos, incluso bajo el mismo dominio tendrían SO diferentes.

Desconozco si hay alguna forma de leer SO de otros SWF's de un mismo dominio (creo que había una, no muy fácil de conseguirlo, pero nunca la llevé en práctica)

¿Para qué se usan?
En flash, hablar de sesiones es una tontería, mientras no recargues la página no es necesario pasar variables de un lado a otro, así que YO, PERSONALMENTE las utilizo para mantener los datos en los formularios. Por ejemplo si se pide nombre y web para dejar un comentario, pues lo guardo en un SO y los muestro la siguiente vez.

Hay quien los utiliza para mantener los highscores (Claro que cada uno tendrá el suyo personal). Por ejemplo, el juego de "N - the way of ninja" guardaba en SO's los niveles desbloqueados. O para evitar que voten repetidas veces en las encuentas públicas, comprobar si alguna vez ya estuvo en la web y saludarlo,...

Comentario:
Este es el enlace

Este es el enlace pero en español del «administrador de configuración» de «flash».

Fuente:
http://www.kriptopolis.org




Otras noticias de interés:

Argentina: Censura de ningún tipo en Internet
En España la Ley Sinde, en EEUU la Ley Sopa (Stop Online Piracy Act) y la Ley Pipa (Protect IP Act), peligros inminentes para la libertad de expresión y para la internet en general como canal global de circulación de la información, ya que establ...
Symantec: cuidado con las conversaciones VoIP
La empresa de seguridad desveló ayer un nuevo troyano, Peskyspy, capaz de grabar las comunicaciones VoIP, especialmente las realizadas con Skype...
Chrome OS podría ver la luz el próximo 11 de noviembre
Según TechCrunch, Google ha terminado el desarrollo de la última beta del sistema operativo y ya ha llegado a la etapa de RC (Release Candidate), por lo que es más que probable que la fecha del lanzamiento se acerque....
Microsoft lo admite: aún no hemos arreglado Hotmail
Decenas de millones de usuarios del cliente webmail de Microsoft se han visto afectados por un problema que les impide entrar en sus cuentas durante los dos pasados días. Tanto Hotmail como su red de mensajería instantánea están pasando por probl...
Multiples vulnerabilidade en Moodle
Un problema de seguridad y múltiples vulnerabilidades han sido reportadas en Moodle, que pueden ser explotada por usuarios maliciosos para revelar información sensible y eludir ciertas restricciones de seguridad....
Adobe publica parche de seguridad urgente
Adobe anunció que hoy 10 de junio estará publicando una actualización para la vulnerabilidad crítica en Adobe Flash, Acrobat y Reader que permite control remoto, de la cual dimos detalles hace unos días. ...
El Spam se carga a una nueva víctima
Uno de los problemas más graves de Internet es el tráfico monstruoso de Spam. Se podría decir que mientras la Web fue evolucionando, el Spam siguió creciendo y no encontró nadie que realmente le ponga palos en la rueda. Seguramente atrás allá ...
Envenenamiento de cache DNS en BIND 9
Se ha anunciado una vulnerabilidad en BIND por la que en determinadas circunstancias un atacante remoto podría añadir registros a la caché DNS....
Pantallazo azul (BSOD) en Windows Vista y 7 a través de unidades compartidas
Laurent Gaffié ha detectado un fallo de seguridad en Windows Vista que podría permitir a un atacante provocar un BSOD (pantallazo azul, una denegación de servicio) con solo enviar algunos paquetes de red manipulados a una máquina que tenga activo...
DoS en Internet Explorer debido a URI malformado
Se ha reportado que Internet Explorer es propenso a un ataque de denegación de servicio (DoS), explotable en forma remota....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • flash
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • silenciosa
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra