[Atl42] Todo sobre el incidente “onMouseOver”

• Mensaje anterior: [Atl42] (149) Rebeldes, Héroes y Criminales que alimentaron el lado oscuro de la Red...
• Próximo mensaje: [Atl42] Y si meto la mano en el rayo de protones del LHC?
• Mensajes ordenados por: [ fecha ] [ hilo ] [ asunto ] [ autor ]

  Sent to you by Cassisi via Google Reader: Todo sobre el incidente
“onMouseOver� via DosBit by Jorge Autor on 9/22/10





Ayer mismo les alertábamos de la existencia en Twitter de un grave
problema de seguridad por el que links en tweets podían ser ejecutados
con tan sólo pasar el cursor por encima. Pues bien, una vez analizado
el problema por los ingenieros de la red de microblogging, éstos son
los detalles técnicos.

El problema de seguridad fue originado mediante cross-site-scripting
(XSS), un tipo de inseguridad informática o agujero de seguridad basado
en la explotación de vulnerabilidades del sistema de validación de HTML
incrustado. En este caso, los usuarios mandaron código javascript como
texto plano en un Tweet que podría ser ejecutado en el navegador de
otro usuario.

Primero, alguien creó una cuenta que explotaba el problema
transformando tweets a diferentes colores y causando la aparición de un
popup cuando alguien pasaba sobre el link del tweet. Esta es la razón
por la que la gente se refiere a esto como defecto onMouseOver, ya que
el exploit se ejecuta cuando alguien pasa el ratón sobre un link.

Otros usuarios fueron un paso más allá al añadir código que hacía que
la gente retwiteara el tweet original sin saberlo…

El exploit no tuvo repercusión ni el la web móvil ni en las
aplicaciones para los mismos, así que todo ha quedado en meras
molestias. Los usuarios todavía pueden ver retweets extraños en sus
líneas de tiempo causados por el problema. No hay necesidad de cambiar
las contraseñas de cuentas de usuario, ya que la información no se vio
comprometida a través de este exploit.

Vía: Twitter Blog

Things you can do from here:
- Subscribe to DosBit using Google Reader
- Get started using Google Reader to easily keep up with all your
favorite sites
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ourproject.org/pipermail/atl42-public/attachments/20100922/5edb81c0/attachment-0001.htm 

• Mensaje anterior: [Atl42] (149) Rebeldes, Héroes y Criminales que alimentaron el lado oscuro de la Red...
• Próximo mensaje: [Atl42] Y si meto la mano en el rayo de protones del LHC?
• Mensajes ordenados por: [ fecha ] [ hilo ] [ asunto ] [ autor ]