Puede que ya hayas oído hablar de un nuevo bug que afecta a todos los navegadores, a excepción de Internet Explorer y otras piezas arcaicas de coleccionista, publicado ayer por The Shmoo Group.
Hay una demostración en la web de Shmoo. En ella se presentan un par de enlaces que parecen abrir la web de paypal, con o sin conexión segura. Si pulsamos sobre el enlace se abrirá una web falsa, pero la url mostrada será la de paypal, www.paypal.com. Además, en el caso de usar SSL se mostrará la barra de dirección en amarillo, asi como el icono de candado que las identifica en Firefox.
El problema está relacionado con la implementación en los navegadores más modernos de un estándar llamado ‘Internationalized Domain Names’ (IDN), que permite representar nombres de dominios con letras de cualquier idioma. Lo que ocurre es que el enlace de la demostración no nos dirige a http://www.paypal.com, como puede parecer, sino a una web en la que la primera ‘a’ de ‘paypal’ se ha sustituido por otro carácter Unicode.
El navegador de Microsoft no es vulnerable, al no haber implementado aún IDN. Para Firefox y Mozilla existe una solución temporal mientras se crea un parche. Por otro lado, la gente de Opera, siempre según Shmoo, no piensa hacer ningún cambio ya que piensan que han implementado correctamente IDN.
Al final vamos tener que pasarnos con el elinks 😀
Por cierto, es el navegador definitivo para los currantes: puedes leer Slashdot tranquilamente y el jefe piensa que estás haciendo cosas en el terminal 😀
lo mismo te interesa la extensión PaNIC para Firefox 🙄
Pingback: torresburriel.com » Vulnerabilidad en todos los navegadores
Pingback: torresburriel.com
muy chunga la noticia… 😯 pero muy buena la extensión!! 8)
bueno, no creo que tarde demasiado en aparecer una versión que lo solucione. mozilla es famosa por ello 🙂
raro que no haya salido ningun proIE criticando a firefox de que «ellos si y nosotros no»…
muy raro…
calla, que los estas invocando
Obvio, su ventaja se debe a su descuido, a este paso el Netscape 4 será igual de «seguro».
hombre. es que si nos ponemos en ese plan nos dedicamos a navegar a base de telnets
Ya corrigieron el error…
En menos de 12 horas ^^
yo que ya lo hiba a reportar en el bugzilla pero ya veo que son rapidos. Bien por esa equipo de desarrollo de Mozilla
cojonudo 🙂 ahora a ver si lo sacan en versión estable porque usar nightly builds…
es estable esta basado sobre el trunk de gecko estable la version inestable es otro trunk ahi alrato te paso la URL donde explica todo eso
ya quitaron el enlace de donde lo tenia bueno ya nimodos no te lo puedo comprobar 😕
mientras no se pase a release sigue siendo una nigthly rafaga
aqui dejo el enlace al bug de mozilla https://bugzilla.mozilla.org/show_bug.cgi?id=279099
solo para lo que dessen ver el progreso del fix (aclaremos mientras se deshabilito el IDN ,pero estan todavia corrigiendo el codigo para evitar los ataques de dominios homograficos)