Buscar
 
 

Resultados por:
 


Rechercher Búsqueda avanzada

Últimos temas
» En casa de Belén, de vacaciones
Dom Abr 03, 2011 2:48 am por Invitado

» CONTINUIDAD
Lun Sep 14, 2009 8:28 pm por alfonso

» Boletín diario de Seguridad de INTECO-CERT
Jue Ago 20, 2009 3:52 pm por son5minutos

» Vulnerabilidad crítica en Flash Player
Dom Jul 26, 2009 2:13 pm por son5minutos

» Adobe conocía su último "0 day" desde 2008
Dom Jul 26, 2009 2:12 pm por son5minutos

» Último Informe del CERT para PYMES y Ciudadanos de Inteco
Dom Jul 26, 2009 2:11 pm por son5minutos

» STILO
Dom Jun 28, 2009 2:45 pm por nenina

» CINE
Dom Jun 28, 2009 2:44 pm por nenina

» VIAJAR
Dom Jun 28, 2009 2:44 pm por nenina

» EMPLEO Y FORMACION
Dom Jun 28, 2009 2:43 pm por nenina

» MOVILES
Dom Jun 28, 2009 2:42 pm por nenina

» VIDEOJUEGOS
Dom Jun 28, 2009 2:41 pm por nenina

» SEGURIDAD
Dom Jun 28, 2009 2:40 pm por nenina

» EMPRENDE
Dom Jun 28, 2009 2:40 pm por nenina

» NOTICIASDOT PRO
Dom Jun 28, 2009 2:39 pm por nenina

» SOFTWARE LIBRE
Dom Jun 28, 2009 2:39 pm por nenina

» GADGETMANIA
Dom Jun 28, 2009 2:37 pm por nenina

» WEB 2.0
Dom Jun 28, 2009 2:37 pm por nenina

» MUNDO DIGITAL
Dom Jun 28, 2009 2:36 pm por nenina

» Averigua quién está conectado a tu ordenador
Dom Jun 21, 2009 12:11 pm por Gaillimh

Flujo RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Bookmarking social

Bookmarking social Digg  Bookmarking social Delicious  Bookmarking social Reddit  Bookmarking social Stumbleupon  Bookmarking social Slashdot  Bookmarking social Yahoo  Bookmarking social Google  Bookmarking social Blinklist  Bookmarking social Blogmarks  Bookmarking social Technorati  

Conserva y comparte la dirección de Foro en tu sitio de bookmarking social


¿PayPal bloqueará a los navegadores 'inseguros'?

Ver el tema anterior Ver el tema siguiente Ir abajo

¿PayPal bloqueará a los navegadores 'inseguros'?

Mensaje por Gaillimh el Dom Abr 27, 2008 8:33 pm

23/04/2008 ¿PayPal bloqueará a los navegadores 'inseguros'?



Se ha escrito mucho sobre esta medida decidida por PayPal, sin duda, un
peso pesado en Internet y cuyos movimientos se siguen con lupa. Como
suele ocurrir en estos casos, la noticia ha sido en parte confundida y
al parecer la mayoría de los medios no han sabido transmitir realmente
la idea de PayPal. Como de costumbre, los medios generalistas han
terminado aprovechando para señalar con el dedo a los de siempre, con
el mensaje de siempre, y olvidando realmente cuál es el objetivo de la
compañía.PayPal
es el sistema de pago líder en Internet. Permite ingresar o recibir
dinero en cuentas particulares o ajenas con sólo conocer la dirección
de correo de un usuario de PayPal. PayPal es la compañía, junto con
eBay, que más ataques phishing sufre cada día. Las contraseñas robadas
de usuarios se cuentan por decenas cada hora. Como medida para paliar
este problema, la compañía ha anunciado que bloqueará a los
'navegadores inseguros' y aquí parece que comienza la confusión. Es
importante destacar que la medida de PayPal está destinada a paliar el
phishing, y sus 'navegadores inseguros' se mueven exclusivamente en
este contexto del fraude online, y no en ningún otro donde tengan que
ver los problemas de seguridad o las vulnerabilidades.¿Qué es
entonces un navegador inseguro para PayPal? La respuesta no tiene nada
que ver con vulnerabilidades, problemas de seguridad o nada parecido,
aunque muchos han querido llevar la noticia a este campo. Por un lado,
PayPal considera inseguros a los navegadores antiguos que han dejado de
tener soporte y que no incorporan tecnología antiphishing (desarrollada
en los últimos años). Como simple ejemplo, menciona que todavía es
visitada por usuarios que utilizan Internet Explorer 4, y que a estos
no les permitirá el acceso. Navegar con Internet Explorer 4 o cualquier
otro navegador que no recibe soporte ni actualizaciones de seguridad
desde hace años es un completo suicido tecnológico para el sistema que
lo utilice. Probablemente, que un usuario de IE 4 pique en un phishing
de PayPal o no, es el menor de sus problemas.PayPal utiliza una
analogía para explicar lo que pretende: "Dejar que los usuarios de
estos navegadores visiten la página de PayPal es como permitir a una
factoría de coches que los fabrique sin cinturón de seguridad". Al
parecer PayPal avisará durante un tiempo a sus visitantes si detectan
estos navegadores, y luego los bloqueará.¿Qué otro parámetro
utiliza PayPal para calificar de inseguro a navegador? Pues que no
utilice la tecnología Extended Validation SSL. PayPal ha invertido en
estos nuevos certificados SSL (que no son baratos) y obviamente quiere
sacarles provecho. Extended Validation SSL es una buena idea. Explicado
de forma sencilla, los certificados que cumplan el Extended Validation
SSL autentican al servidor (como los certificados tradicionales), pero
a efectos prácticos permiten que el navegador que visita la página que
tiene estos certificados, muestre de forma mucho más clara que la
página es efectivamente la que se quiere visitar. Sería como si el
navegador hiciera por nosotros la operación de pulsar sobre el candado
cuando nos conectamos por SSL a una página, y verificara la ruta de
certificación, el domino válido... todo de forma automática y visual.
Si el servidor es seguro, se muestra en la barra de direcciones un
color verde. Un usuario puede así de un solo vistazo dar por seguro que
el servidor al que se está conectando es el correcto, y que no se está
usando un certificado válido, pero falso.Por ahora, sólo
Internet Explorer 7 soporta de serie la correcta interpretación de
certificados EV SSL. Firefox 2 necesita un plugin y Opera ha dicho que
lo implementará. Safari no se ha pronunciado. Quizás, con el tiempo,
PayPal obligue a los usuarios a utilizar un navegador que soporte EV
SSL, pero para entonces (dentro de años) probablemente sea algo que
todos los programas implementen de serie.La noticia por tanto,
no es tan catastrófica, aunque sí marcará tendencias. Lo que todavía no
se sabe realmente, es si esta medida ayudará a paliar el phishing que
sufre PayPal. A tenor del éxito del que todavía goza el phishing
tradicional, los usuarios han demostrado que no se fijan realmente en
los dominios, ni en la autenticación SSL a la hora de introducir sus
credenciales en cualquier página que se lo solicite.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3469/comentar

Más Información:

Paypal to block 'unsafe browsers'
http://news.bbc.co.uk/2/hi/technology/7354539.stm


Sergio de los Santos
ssantos@hispasec.com
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Vulnerabilidad en PayPal, desacredita certificados EV

Mensaje por son5minutos el Miér Mayo 21, 2008 10:49 pm

Fuente: http://www.vsantivirus.com/17-05-08.htm

Vulnerabilidad en PayPal, desacredita certificados EV

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Según reporta Netcraft, compañía que brinda servicios de
seguridad en Internet, un investigador finlandés descubrió
una vulnerabilidad del tipo Cross-Site-Scripting (XSS) en
PayPal.com, que permite a un atacante agregar su propio
contenido al sitio, y de ese modo robar las credenciales de
los usuarios que accedan a él.

PayPal.com, el popular sitio de pagos vía Internet, es una de
las primeras compañías que adoptó certificados EV (Extended
Validation o Validación Extendida). Internet Explorer, desde
su versión 7, Firefox y Opera, incluyen soporte para los
mismos. Cuando los sitios EV presentan el certificado, la
barra de direcciones del navegador se muestra en verde.

Harry Sintonen, quien descubrió la vulnerabilidad, afirma que
la cuestión es muy crítica, porque "fácilmente se pueden
robar las credenciales de los usuarios," a pesar de que la
dirección visitada comienza con HTTPS: (que indica un
protocolo seguro).

Durante años hemos estado alertando que al visitar un sitio
de transacciones comerciales, se prestara atención a ese
detalle. El mismo PayPal insiste con ello en su página, para
evitar que los usuarios sean estafados por sitios falsos. Sin
embargo, en este caso, el sitio es el original, la dirección
es segura, se muestra como segura, y así debería serlo.

La vulnerabilidad es más grave que otras similares, por el
hecho de que las páginas afectadas utilizan una extensión de
la validación SSL, y además, gracias a los certificados EV,
la barra de direcciones permanece verde, lo que indica que el
sitio y su contenido es seguro, y pertenece a PayPal, lo que
hace que los visitantes no sospechen nada

El problema es que mediante la vulnerabilidad descubierta,
aún estando en la página original, alguien podría robar toda
nuestra información cuando hacemos alguna transacción.

Si bien los certificados SSL proporcionan un gran nivel de
fiabilidad cuando se trata de confirmar la propiedad del
sitio, no pueden garantizar que un sitio esté libre de otros
problemas de seguridad, incluyendo un Cross-Site-Scripting
como en este caso. Este tipo de fallo, permite eludir las
restricciones para ejecutar scripts (archivos de comandos),
en ventanas pertenecientes a diferentes dominios.

Existe la preocupación de que los atacantes pueden aprovechar
este malentendido en la importancia de la barra de
direcciones de color verde para su propio beneficio,
desacreditando la confianza inculcada por los certificados de
Validación Extendida, tecnología anti-phishing fuertemente
defendida por PayPal, tanto como para desaconsejar el uso de
navegadores que no la soportan.

La vulnerabilidad viene a la luz, apenas un mes después que
PayPal publicara en su blog, un enfoque práctico para la
gestión del "phishing", que ensalza como medida de
prevención, el uso de estos certificados. Allí, PayPal
describe a los navegadores que no soportan certificados EV
como "inseguros", anunciando además que bloqueará el acceso
al sitio a los mismos.

Los usuarios deben ser conscientes de que ahora, una barra de
direcciones de color verde, o un protocolo HTTPS, no
garantiza el origen del contenido de una página si existe una
vulnerabilidad como la ahora reportada.

Al momento de publicarse esta noticia, no hay comentarios de
PayPal sobre este tema.


* Referencias:

PayPal XSS Vulnerability Undermines EV SSL Security
http://tinyurl.com/3evfgp (Netcraft)


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
avatar
son5minutos
Admin
Admin

Masculino
Cantidad de envíos : 275
Edad : 52
Localización : Polinyà, BCN, Spain
Fecha de inscripción : 03/02/2008

Ver perfil de usuario http://www.son5minutos.com

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.