No logo - Only favicon google.dirson.com
  <noticias de google en español>
Google
 
Tutorial de Posicionamiento | Último tema en el foro: Estan sintiendo la baja de verano?
 RSS - Sindicación
Feed Icon
feed RSS
 o Suscríbete al feed
 o ¿Qué es RSS?

 acerca de google
 o acciones de Google
 o faq google
 o historia de google
 o otros google's
 o la competencia
 o pagerankTM
 o tecnología
 o google & linux
 o logos de google
 o curiosidades
 o googlebot
 o Google Talk
 o AdWordsTM
 o AdSenseTM
 o países
 o hispanoamérica
 o google spain
 o google toolbar
 o Google Maps
 o YouTube
 o Google en español
 o Googel
 o teléfono móvil
 o Google Phone
 o Google Mobile OS
 o OpenSocial
 o Google Knol

 buscar en este blog

 email de google
 o Gmail
 o impresiones
 o trucos
 o utilidades

 herramientas
 o fresh machine
 o buscador
 o dirección IP
 o diccionario
 o google bombing
 o Google API
 o Buscador de vídeos

 webmasters
 o posicionamiento

 trucos
 o trucos para buscar
 o caché de google
 o google hacks

 discusiones
 o foro de Google
 o foro AdSense
 o foro posicionamiento
 o lista de correo

 sobre dirson
 o categorías
 o noticias en tu web
 o mapa web



Críticas a Google por no preocuparse de vulnerabilidades XSS que no afectan a su propio sitio web

Las vulnerabilidades XSS son muy frecuentes en las aplicaciones web, y permiten ejecutar scripts (generalmente escritos en JavaScript) dentro del código de las páginas de estas aplicaciones. Al ejecutar estos scripts, cualquier atacante puede conseguir por ejemplo hacerse con las cookies de un usuario, redireccionar a este a una tercera página web, o escribir textos dentro de los contenidos web.

A estos agujeros de seguridad no se escapa ni Google, y se han detectado decenas de ellos durante los últimos años ([1], [2], [3], [4], [5], [6]), e incluso ha obligado a la compañía a crear una herramienta propia para su detección.

Robert Hansen (Rsnake, responsable de 'ha.ckers.org') es un experto en XSS y bastante aficionado a detectar este tipo de vulnerabilidades en los sitios web de Google, y acaba de detectar otra, esta vez dentro de los 'Google Gadgets'. Se trata de que cualquier creador de estos gadgets que los aloje dentro del dominio 'gmodules.com' (el que utiliza Google para alojar la colección oficial de gadgets creados por los desarrolladores) puede insertar código JavaScript para intentar confundir al usuario. Si haces click en este enlace podrás comprobar que hay un agujero XSS.

Hansen afirma que, de esta manera, alguien puede insertar un 'Google Gadget' "malicioso" en su página web, y éste puede redireccionar automáticamente al usuario a un tercer sitio web, el cual puede ser por ejemplo una página con la misma apareciencia que intente pedir el nombre de usuario y contraseña (Phising). El dominio 'gmodules.com' es considerado por muchos filtros anti-phising como un sitio seguro, por lo que no detectarían nunca un posible intento de esta práctica. Sin embargo, desde Google aseguran a Hansen que este asunto es un "comportamiento esperado" de la aplicación, y que no van a tomar cartas en el asunto puesto que no es posible robar las cookies de 'google.com' (efectivamente, es así, puesto que se ejecuta en 'gmodules.com').

Hansen está bastante enfadado con esta respuesta, y se pregunta si Google solamente se preocupa por su propia seguridad (que nadie robe contraseñas de las cuentas de usuario de Google) y no por la de los consumidores.

Publicado el 18 de agosto de 2007 | Categoría: problemas

Puedes dejar un comentario sobre la noticia del post rellenando y enviando el siguiente formulario. Los campos marcados con asterisco (*) son obligatorios.

Tu nombre (*):
Esto será lo que aparecerá como el autor del comentario

Tu URL (opcional):
We use JavaScript redirections and 'rel=nofollow', so links are not considered by Google.

Tu email (*):
No lo haremos público. Además, con tu email puedes utilizar Gravatar para mostrar tu avatar personalizado.

Tu comentario (*):

We remove HTML tags.

Escribe las palabras que ves a continuación en este Captcha (queremos saber si eres un humano. Más info sobre Captcha en este link):

¿Tienes alguna noticia sobre Google para enviarnos? Puedes contactar con nosotros


Webmaster: ¿Quieres incluir en tu sitio web nuestras noticias y contenidos?


Últimas noticias

:: Obligan a Google a entregar información de direcciones IP basándose en su propia defensa de que la dirección IP "no es un dato personal"
:: Google Talk llega al iPhone y al iPod Touch (solo chateo en formato web)
:: Las autoridades antimonopolio de EEUU podrían investigar el acuerdo publicitario entre Google y Yahoo!
:: Formato Flash: Google comienza a rastrear los enlaces en estos documentos
:: El actual programa de referidos de Google desaparece, y solamente funcionará el de Performics

Últimos posts en el foro

:: Estan sintiendo la baja de verano?
:: Intercambio de Enlaces... Foro con PR4
:: Intercambio de enlaces con cualquier tipo de webs
:: Intercambio con web con más de 750.000 visitas mensuales
:: ¿Curiosidad GMail?
::

IMPORTANTE: Este sitio web NO tiene ninguna afiliación ni relación con Google Inc. Todos los logotipos, marcas comerciales e imágenes son propiedad de Google Inc (Mountain View, CA 94043, USA). [Más información]