PplWare Mobile

Chrome e Firefox – Falha permite clickjacking

                                    
                                

Este artigo tem mais de um ano


Autor: Vítor M.


  1. Boa 🙂

    Hoje ou amanhã já sai um patch e um upgrade 🙂

  2. Diogo.AOS says:

    E para quem usa as versões beta e afins do Chrome, essa falha já tinha sido corrigida ou estão igualmente expostos?

  3. m00nbl00d says:

    Bem, afinal parece que estes males, não assombram apenas o Internet Explorer.

    Caso fosse uma notícia sobre o IE, já cá estariam as más críticas, não é verdade? Como não é… 😀

  4. Helguera says:

    saia uma nova release do fox….. o resto é conversa xD

  5. EacHTimE says:

    E o IE7 afecta? aí não diz… eu não uso mas tenho curiosidade.. lol

    Enfim.. todos os browsers têm falhas.. desde que as corrigam rapidamente tudo bem.

  6. Vítor M. says:

    Diogo.AOS a nova versão beta não é referenciada.no entanto também não é ilibada.

    Em relação ao IE8… a Microsoft depois de reformular determinadas politicas relacionadas com os seus produtos, mais concretamente após o fim do período Windows XP e Internet Explorer 6, lançou novas versões onde a segurança estava no topo da lista de prioridades.

    Não é ao acaso que vemos um Windows Vista com alguns anos de mercado e com pouquíssimas falhas de segurança, sendo que graves creio que não houve nenhuma.

    O mesmo se passa com o seu browser. Desde a saída do Internet Explorer 7 que as falhas de segurança não têm significado face, por exemplo, as ocorridas no Firefox.

    O Internet Explorer 8 será, a meu ver, o browser que terá o melhor resultado tendo em conta o binómio n.º utilizadores vs falhas de segurança.

    Posso a antever mesmo e não sou utilizador IE, eu maioritariamente utilizo FF, que o IE8 será o mais seguro browser de sempre.

    Depois há a questão que a Microsoft também limou, que são as respostas à falhas ocorridas. Serão mais rápidas, expondo menos os seus utilizadores aos perigos.

    À medida que o Chrome for ganhando mercado, é provável que outras mais apareçam, pelo facto deste browser ser ainda muito jovem.

  7. Pedro F. says:

    Vítor M., tens razão no que dizes quanto à Microsoft ter colocado a segurança no topo das suas prioridades (pelo menos em termos de anúncios por parte da empresa, não tenho conhecimento da realidade interna).

    No entanto tenho as minhas dúvidas que isso se traduza em mais segurança, especialmente sabendo a história passada da Microsoft, com alguns fixes para “security issues” menores terem de esperar até um Service Pack até serem corrigidos (lamento, não me recordo qual foi, sei que não era uma falha importante mas mesmo assim era uma falha de segurança). Sem dúvida lá tiveram as suas razões, mesmo assim parece-me um pouco hipócrita.

    De qualquer maneira, deixo-te aqui uns links que julgo que serão do teu interesse. Devo sublinhar que IE7 e Firefox 2 foram ambos lançados em Outubro de 2006:

    http://secunia.com/advisories/product/12366/
    http://secunia.com/advisories/product/12434/

    IE7: Unpatched 27% (9 of 33 Secunia advisories)
    Firefox2.x: Unpatched 10% (3 of 29 Secunia advisories)

    e agora o que me surpreendeu, pensei que estivesse com algumas falhas:
    Google Chrome:
    Unpatched 0% (0 of 0 Secunia advisories)
    [ http://secunia.com/advisories/product/20760/ ]

    Inteh 🙂

  8. jmtdstoc says:

    Para evitar ataques via “clickjacking” e outros que envolvam “Javascript”, “Java” ou outros tipos de “códigos” tenho 2 palavras para dizer: FIREFOX + NOSCRIPT (add-on para o Firefox).
    Não precisam de mais nada, além de bom senso, claro 🙂 .

  9. paulf says:

    Se querem ter segurança a navegar: Opera 🙂

    Até aqui o grande massacrado tem sido o IE, mas a partir de agora os outros é que vão começar a ver como elas doem… É uma consequência natural e não há como evitar isso, a não ser através de actualizações de segurança muito regulares e é preciso que os utilizadores as instalem com a rapidez exigida!! A maior parte das pessoas nem sabe que existem estes perigos, não sabe que as actualizações são muito, mas muito importantes, por isso é que as ameaças se propagam com facilidade.

  10. paulf says:

    @Vítor M.
    Eu agora uso o Opera ainda, mas comecei a utilizar o IE 8 muitas vezes também 🙂 Está muito rápido! Não sei se nos testes ficará em último lugar comparado com os outros browsers, mas pelo menos, aparentemente, está muito rápido.
    E lá está, na segurança, o IE desde sempre que é muito atacado.

  11. CáVai says:

    @paulf:

    Segurança online é uma ilusão.

    Para teres noção aqui tens o changelog do Opera.
    Verás que foram corrigidas 8 falhas de segurança.

    Não me interpretes mal; tenho um grande respeito pelo Opera, apesar de não ser o browser que normalmente uso.

    A questão é que não existe nenhum software sem defeitos, e a web é , hoje em dia, o alvo preferido dos hackers e afíns.

    Quanto ao IE, acho que as pessoas têm tendência para ver apenas aquilo que querem. Sim, o IE é um browser inseguro, mas não por causa das falhas de segurança; o IE é inseguro porque é um programa demasiado explorado.

    Digam as pessoas o que disserem, a pirataria é hoje um negócio e, quando se trata de negócio, mais vale apostar nas grandes massas, pois é isso que dá realmente lucro.

    Além disso, sou obrigado a concordar com o @jmtdstoc; o Firefox com o Noscript oferece uma navegação mais segura do que qualquer outra solução, excepto, talvez, a utilização de uma Sandbox.

  12. Miguel Guerra says:

    É claro que não há browsers “inpenetráveis”. Só que aqui, foram os especialistas de segurança a descobrir a falha. É neste aspecto que acho o Firefox um browser seguro. As falhas são rapidamente descobertas e corrigidas.

  13. M. Gomes says:

    O curioso disto tudo é que este truque já é conhecido há uns bons anos, é bastante utilizado para customizar botões de upload em formulários web:

    http://www.shauninman.com/archive/2007/09/10/styling_file_inputs_with_css_and_the_dom

    comparem o resultado desta página: http://www.shauninman.com/assets/examples/styling-file-inputs/ no opera e no firefox.

    O engraçado (deste artigo) é só se terem lembrado agora que o mesmo pode ser aplicado a botões normais.
    Bom, é o preço a pagar por ter coisas bonitas.

  14. viperbruno says:

    @M. Gomes

    Em todos os browsers tem um resultado diferente. O ie8 (8.0.7000) mostra apenas um botao (choose file) enquanto que o opera mostra a barra e o botao (chosse…)
    Ja foi fanboy do FF mas como a sua evolucao e pouca em relacao aos restantes tenho deixado para o lado. Espero que o futuro do firefox seja melhor, desde que o pessoal comecou a usa-lo muito, ja comecam a quer tambem ataca-lo. Comecei a usa-lo quando estava na versao 1.5 e ai ganhava e muito ao ie6.

  15. Sara Canelas says:

    E um erro que existe no firefox desde que saiu a versão 3.0.
    Ainda de manha deixei pessoal aceder as suas contas pessoais a partir do meu portatil e sem querer vi as suas passwords.

    Good Work!
    Mesmo assim e bom alertar o pessoal destes perigos.
    Excelente site.

    Cumprimentos

  16. Nelson N says:

    Também utilizei o FF quando o vi há anos quando vi o suplemento do jornar 24 Horas, e nunca mais lhe toquei precisamente pelo motivo parecido com o da Sara Canelas. “Dizia-lhe constantemente para não guardar senhas do banco e da Sta Casa, mas quando ia verificar lá estavam elas. De notar que durante o primeiro ano de vida o FF não teve nenhum ataque ou falha; acho que não é necessário dizer porque.
    Já vi aqui alguém dizer que o FF sem addons ou suplemtos nao vale nada; outros que não o largam precisamente por causa destes, e eu acho que quantos mais addnos ou supl. tiver “agarrados” mais vulnerável se torna. Todos esses addons são criados pela Mozzila? Por ex. o Kis diz que o Adobe Flash que está com o opera Portabele é vulverável. Estou como diz o CáVai “Segurança online é uma ilusão”.

  17. Jaime says:

    Para questões de segurança façam como eu e passem a enviar mensagens
    e outras coisas de segurança por “Pombo Correio”, não esquecendo
    porém de só utilizar este processo fora da época da caça aos mesmos.
    Desculpem isto é só stress da iminência de mais um fim de semana !

  18. André Lopes says:

    Nada mesmo melhor que o Opera.
    Nenhum programa é infalivel mesmo, mas o que importa é o tempo de demora para correcção. O facto de antes de a falha ser publicada, a falha ser corrigida (rapidez na correcção das falhas de segurança) é uma excelente razão para escolha do Opera.

    Não será por alguma razão, que alguns ex-responsaveis do Firefox estarem a trabalhar neste momento no Opera.

    Algo não deve estar bem no seio da Mozzila.

  19. Hugo Almeida says:

    Um software que não tenha bugs conhecidos só significa uma coisa… ainda não foi suficientemente testado. 😉

  20. Spulva says:

    LOLOL, curti ca fode, e digo so uso firefox e o chrome aqui no meu pc velhinho, na tou habituado ao IE, mas tipo, se fosse uma falha no IE era o cu do judas AIII E TALLL COISO BLA BLA BLA, agora nao é. AHH E TAL QUE VENHA O UPDATE, so visto mesmo…

    keep gooing

  21. Pedro says:

    Concordo plenamente com o Spulva.
    Se fosse o IE este artigo ja tinha uns 40 comentários..

    http://www.futeboltuga.com/forum/

  22. carlosmc says:

    Há muito que digo que os pop-under são piores que os pop-ups, mas “ninguém” me ouve…

  23. Vítor I says:

    As falhas de segurança afectam regularmente todos os navegadores. A atitude perante as necessárias correcções é que varia.
    Tipicamente o Opera é actualizado ao fim de um dia, o Firefox e o Chrome numa semana, O IE demora meses (anos, em algumas situações) até ter uma correcção de segurança.

  24. alberto says:

    @Sara Canelas: isso não é um bug. Basta usar a senha mestra do Firefox que ninguém terá acesso as demais senhas. O Chrome também faz isso, nas opções há um botão “Mostrar senhas salvas” (versão pt-BR).

  25. Iu says:

    Quanto às senhas no Mozilla Firefox… bem vão a “Ferramentas” > “Opções” > “Segurança” e aí retirem a selecção da opção “Memorizar as senhas para os sítios”.
    Vão ver que podem utilizar o browser sem correr o risco de ele guardar as vossas senhas!
    Para uma maior segurança, façam o que já foi aconselhado por aí (e que eu já faço à algum tempo!) usem o NoScritpt (https://addons.mozilla.org/pt-PT/firefox/addon/722.

  26. BigLord says:

    Como já disse muito boa gente… Usem o NoScript por amor de Deus. Até é mencionado no artigo da Wikipedia sobre o Click Jacking como a única coisa realmente capaz de o evitar a 100%.

    Por outro lado aposto que a equipa que fez o NoScript é que editou essa parte do artigo 😛

  27. Blizard says:

    Desde que seja corrigido em pouco tempo tudo bem….
    Software e mesmo assim…

    http://truquestelemoveis.blogspot.com/

  28. Sharp Random says:

    Com Firefox 3.0.5.portable + noscript 1.9 vamos a qualquer lugar.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.