Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
Hola Tei:
Ya leí sobre este tema hace no mucho, y me parece un tema muy
interesante. Pero pienso que tiene fácil solución y que actualmente la
mayoría de los navegadores ya lo contemplan, aunque indirectamente y
sin quererlo, ya que la solución depende totalmente del usuario.
Es decir, todo navegador tiene la posibilidad de que el usuario pueda
incluir su propia hoja de estilos para que se aplique en última
instancia sobre las páginas por las que navega. Y teniendo en cuenta
esto, si yo añado en mi hoja de estilos lo siguiente, habré acabado
con el problema de privacidad:
a:visited {
background: none !important;
}
Puede que me equivoque y se me esté escapando algo, y tampoco he hecho
ninguna prueba, sólo es pura deducción desde mi racional experiencia
:). Y si es así y estoy en lo cierto, lo único que deberían hacer los
navegadores para darle una fácil solución al problema, es añadir por
ejemplo este estilo como una opción interna dentro de las preferencias
del programa, algo así como check ¿Activar protección de privacidad
en los enlaces visitados? y fin del problema.
Supongo que se puede abordar de otras maneras, pero no creo que sea
tan grave este funcionalidad de los estilos en cascada, al menos como
para vetarla de todos los navegadores. Además, me parece una
herramienta interesante para generar unas estadísticas sencillas de
una página, aunque todavía no lo haya puesto en práctica.
--
Philipp Keweloh
Love all, trust a few. - Shakespeare
El 2 de julio de 2009 17:14, Teioscar.vi...@gmail.com escribió:
Se esta haciendo popular el uso de a:visited para leer que paginas ha
visitado el usuario. Esto es un problema de seguridad grave.
La tecnica consiste en poner un estilo especial a a:visited de modo
que llame a un script de estadistica (el script esta en la url de
background). Como solo se llamara si el enlace ha sido realmente
visitado, en otro caso no sera llamado el script.
Esta tecnica no requiere Javascript, unicamente CSS, y ha sido
publicar hace poco en Slashdot y otros medios.
No he escuchado que los navegadores se esten planteando si eliminar
esta caracteristica del navegador. Es una caracteristica de usabilidad
que normalmente se pierde casi siempre, cuando la gente aplica otras
reglas de CSS y elimina la diferencia visual entre enlaces visitados o
no. Pocas veces es necesaria, solo en los buscadores y en los
manuales. El problema es grave, si se explota a fondo no seria
extraño que los navegadores le pongan coto eliminando esta
caracteristica ( haciendo que a:visited no exista) aunque seria
polemico.
--
--
ℱin del ℳensaje.
___
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección:
http://lists.ovillo.org/mailman/listinfo/ovillo
___
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección:
http://lists.ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
2009/7/3 Philipp Keweloh sku...@gmail.com:
...
Y teniendo en cuenta
esto, si yo añado en mi hoja de estilos lo siguiente, habré acabado
con el problema de privacidad:
a:visited {
background: none !important;
}
Me parece una idea bastante buena :-)
...
Supongo que se puede abordar de otras maneras, pero no creo que sea
tan grave este funcionalidad de los estilos en cascada, al menos como
para vetarla de todos los navegadores. Además, me parece una
herramienta interesante para generar unas estadísticas sencillas de
una página, aunque todavía no lo haya puesto en práctica.
Hombre. Permite mapear la red interna, investigar que modelo de
router tiene una persona (si ha entrado con ese navegador en la pagina
del router en alguna ocasion), comprobar si cierta persona es amiga
suya en facebook, ver si ha visitado la pagina porno X, Y, Z. , si
utiliza ebay o amazon, si tiene cuenta en el banco Cai Zaragoza o en
la Caixa (suponiendo que entre a la pagina del banco con ese
navegador), si entra al foro coches, si del forocoches ha leido el
hilo X, o visto la imagen Z, que ha votado en una encuesta de un foro
que visita (si ha votado y la peticion de votar es GET)... y asi
hasta el infinito, el unico limite es la imaginacion o la mala sombra
de uno sobre lo que quieras averiguar de la persona.
Algunas cosas son criticas. Saber el modelo de router puede ayudar a
decidir que ataque se puede realizar contra ese router ...que exploit
hay que usar. Saber que banco utiliza, permite personalizar un
fishing. Si tienes cuenta de la caixa, es mas probable que piques en
un fishing de la caixa.
--
--
ℱin del ℳensaje.
___
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección:
http://lists.ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
Hola, Obviamente, una forma de evitar que se conozca qué sitios has visitado consiste en desactivar el historial de páginas visitadas. En Firefox: Herramientas Opciones Privacidad y desmarcar Guardar mi historial... Demo en: http://www.making-the-web.com/misc/sites-you-visit/nojs/ Saludos. El 2 de julio de 2009 17:14, Teioscar.vi...@gmail.com escribió: Se esta haciendo popular el uso de a:visited para leer que paginas ha visitado el usuario. Esto es un problema de seguridad grave. La tecnica consiste en poner un estilo especial a a:visited de modo que llame a un script de estadistica (el script esta en la url de background). Como solo se llamara si el enlace ha sido realmente visitado, en otro caso no sera llamado el script. Esta tecnica no requiere Javascript, unicamente CSS, y ha sido publicar hace poco en Slashdot y otros medios. No he escuchado que los navegadores se esten planteando si eliminar esta caracteristica del navegador. Es una caracteristica de usabilidad que normalmente se pierde casi siempre, cuando la gente aplica otras reglas de CSS y elimina la diferencia visual entre enlaces visitados o no. Pocas veces es necesaria, solo en los buscadores y en los manuales. El problema es grave, si se explota a fondo no seria extraño que los navegadores le pongan coto eliminando esta caracteristica ( haciendo que a:visited no exista) aunque seria polemico. -- -- ℱin del ℳensaje. ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
[Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
Se esta haciendo popular el uso de a:visited para leer que paginas ha visitado el usuario. Esto es un problema de seguridad grave. La tecnica consiste en poner un estilo especial a a:visited de modo que llame a un script de estadistica (el script esta en la url de background). Como solo se llamara si el enlace ha sido realmente visitado, en otro caso no sera llamado el script. Esta tecnica no requiere Javascript, unicamente CSS, y ha sido publicar hace poco en Slashdot y otros medios. No he escuchado que los navegadores se esten planteando si eliminar esta caracteristica del navegador. Es una caracteristica de usabilidad que normalmente se pierde casi siempre, cuando la gente aplica otras reglas de CSS y elimina la diferencia visual entre enlaces visitados o no. Pocas veces es necesaria, solo en los buscadores y en los manuales. El problema es grave, si se explota a fondo no seria extraño que los navegadores le pongan coto eliminando esta caracteristica ( haciendo que a:visited no exista) aunque seria polemico. -- -- ℱin del ℳensaje. ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
Uy, y esto donde lo has visto?... El 2 de julio de 2009 10:14, Tei oscar.vi...@gmail.com escribió: Se esta haciendo popular el uso de a:visited para leer que paginas ha visitado el usuario. Esto es un problema de seguridad grave. La tecnica consiste en poner un estilo especial a a:visited de modo que llame a un script de estadistica (el script esta en la url de background). Como solo se llamara si el enlace ha sido realmente visitado, en otro caso no sera llamado el script. Esta tecnica no requiere Javascript, unicamente CSS, y ha sido publicar hace poco en Slashdot y otros medios. No he escuchado que los navegadores se esten planteando si eliminar esta caracteristica del navegador. Es una caracteristica de usabilidad que normalmente se pierde casi siempre, cuando la gente aplica otras reglas de CSS y elimina la diferencia visual entre enlaces visitados o no. Pocas veces es necesaria, solo en los buscadores y en los manuales. El problema es grave, si se explota a fondo no seria extraño que los navegadores le pongan coto eliminando esta caracteristica ( haciendo que a:visited no exista) aunque seria polemico. -- -- ℱin del ℳensaje. ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo -- Docente tutor - Soporte Conocimiento Virtual Academia www.ConocimientoVirtual.edu.co www.ConocimientoVirtual.edu.co/foro ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
En el caso de que el Google instalado en tu ordenador este roto, te echo una mano: http://it.slashdot.org/story/09/06/13/2125211/Sniffing-Browser-History-Without-Javascript?from=rss 2009/7/2 Victor Hugo Arias Valencia hugovic1...@gmail.com Uy, y esto donde lo has visto?... El 2 de julio de 2009 10:14, Tei oscar.vi...@gmail.com escribió: Se esta haciendo popular el uso de a:visited para leer que paginas ha visitado el usuario. Esto es un problema de seguridad grave. La tecnica consiste en poner un estilo especial a a:visited de modo que llame a un script de estadistica (el script esta en la url de background). Como solo se llamara si el enlace ha sido realmente visitado, en otro caso no sera llamado el script. -- -- ℱin del ℳensaje. ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
por eso uso no-script y si no se ve la pagina correctamente, busco otra, a menos que sea desentemente conocida lo habilito temporalmente. El 2 de julio de 2009 10:49, Tei oscar.vi...@gmail.com escribió: En el caso de que el Google instalado en tu ordenador este roto, te echo una mano: http://it.slashdot.org/story/09/06/13/2125211/Sniffing-Browser-History-Without-Javascript?from=rss 2009/7/2 Victor Hugo Arias Valencia hugovic1...@gmail.com Uy, y esto donde lo has visto?... El 2 de julio de 2009 10:14, Tei oscar.vi...@gmail.com escribió: Se esta haciendo popular el uso de a:visited para leer que paginas ha visitado el usuario. Esto es un problema de seguridad grave. La tecnica consiste en poner un estilo especial a a:visited de modo que llame a un script de estadistica (el script esta en la url de background). Como solo se llamara si el enlace ha sido realmente visitado, en otro caso no sera llamado el script. -- -- ℱin del ℳensaje. ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo -- Lo bueno de vivir un dia mas es saber que nos queda un dia menos de vida ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
El 2 de julio de 2009 18:46, Tei oscar.vi...@gmail.com escribió: En este caso no-script no te sirve absolutamente para nada. La tecnica solo requiere que el navegador soporte CSS. Perdon, no ley bien. Pero ya lei el articulo y por lo que entendi, si me sirve el adblock plus :D que tengo usando desde hace años (junto con noscript y cookiesafe) ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
