Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
Hola, Obviamente, una forma de evitar que se conozca qué sitios has visitado consiste en desactivar el historial de páginas visitadas. En Firefox: Herramientas > Opciones > Privacidad y desmarcar "Guardar mi historial..." Demo en: http://www.making-the-web.com/misc/sites-you-visit/nojs/ Saludos. El 2 de julio de 2009 17:14, Tei escribió: > Se esta haciendo popular el uso de a:visited para leer que paginas ha > visitado el usuario. Esto es un problema de seguridad grave. > > La tecnica consiste en poner un estilo especial a a:visited de modo > que llame a un script de estadistica (el script esta en la url de > background). Como solo se llamara si el enlace ha sido realmente > visitado, en otro caso no sera llamado el script. > > Esta tecnica no requiere Javascript, unicamente CSS, y ha sido > publicar hace poco en Slashdot y otros medios. > > No he escuchado que los navegadores se esten planteando si eliminar > esta caracteristica del navegador. Es una caracteristica de usabilidad > que normalmente se pierde casi siempre, cuando la gente aplica otras > reglas de CSS y elimina la diferencia visual entre enlaces visitados o > no. Pocas veces es necesaria, solo en los buscadores y en los > manuales. El problema es grave, si se explota a fondo no seria > extraño que los navegadores le pongan coto eliminando esta > caracteristica ( haciendo que a:visited no exista) aunque seria > polemico. > > > > -- > -- > ℱin del ℳensaje. > ___ > Lista de distribución Ovillo > Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org > Puedes modificar tus datos o desuscribirte en la siguiente dirección: > http://lists.ovillo.org/mailman/listinfo/ovillo ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
2009/7/3 Philipp Keweloh : ... > Y teniendo en cuenta > esto, si yo añado en mi hoja de estilos lo siguiente, habré acabado > con el problema de privacidad: > > a:visited { > background: none !important; > } > Me parece una idea bastante buena :-) ... > Supongo que se puede abordar de otras maneras, pero no creo que sea > tan grave este funcionalidad de los estilos en cascada, al menos como > para vetarla de todos los navegadores. Además, me parece una > herramienta interesante para generar unas estadísticas sencillas de > una página, aunque todavía no lo haya puesto en práctica. Hombre. Permite mapear la red interna, investigar que modelo de router tiene una persona (si ha entrado con ese navegador en la pagina del router en alguna ocasion), comprobar si cierta persona es amiga suya en facebook, ver si ha visitado la pagina porno X, Y, Z. , si utiliza ebay o amazon, si tiene cuenta en el banco Cai Zaragoza o en la Caixa (suponiendo que entre a la pagina del banco con ese navegador), si entra al foro coches, si del forocoches ha leido el hilo X, o visto la imagen Z, que ha votado en una encuesta de un foro que visita (si ha votado y la peticion de votar es GET)... y asi hasta el infinito, el unico limite es la imaginacion o la mala sombra de uno sobre lo que quieras averiguar de la persona. Algunas cosas son criticas. Saber el modelo de router puede ayudar a decidir que ataque se puede realizar contra ese router ...que exploit hay que usar. Saber que banco utiliza, permite personalizar un fishing. Si tienes cuenta de la caixa, es mas probable que piques en un fishing de la caixa. -- -- ℱin del ℳensaje. ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
Hola Tei: Ya leí sobre este tema hace no mucho, y me parece un tema muy interesante. Pero pienso que tiene fácil solución y que actualmente la mayoría de los navegadores ya lo contemplan, aunque indirectamente y sin quererlo, ya que la solución depende totalmente del usuario. Es decir, todo navegador tiene la posibilidad de que el usuario pueda incluir su propia hoja de estilos para que se aplique en última instancia sobre las páginas por las que navega. Y teniendo en cuenta esto, si yo añado en mi hoja de estilos lo siguiente, habré acabado con el problema de privacidad: a:visited { background: none !important; } Puede que me equivoque y se me esté escapando algo, y tampoco he hecho ninguna prueba, sólo es pura deducción desde mi racional experiencia :). Y si es así y estoy en lo cierto, lo único que deberían hacer los navegadores para darle una fácil solución al problema, es añadir por ejemplo este estilo como una opción interna dentro de las preferencias del programa, algo así como " ¿Activar protección de privacidad en los enlaces visitados?" y fin del problema. Supongo que se puede abordar de otras maneras, pero no creo que sea tan grave este funcionalidad de los estilos en cascada, al menos como para vetarla de todos los navegadores. Además, me parece una herramienta interesante para generar unas estadísticas sencillas de una página, aunque todavía no lo haya puesto en práctica. -- Philipp Keweloh "Love all, trust a few." - Shakespeare El 2 de julio de 2009 17:14, Tei escribió: > Se esta haciendo popular el uso de a:visited para leer que paginas ha > visitado el usuario. Esto es un problema de seguridad grave. > > La tecnica consiste en poner un estilo especial a a:visited de modo > que llame a un script de estadistica (el script esta en la url de > background). Como solo se llamara si el enlace ha sido realmente > visitado, en otro caso no sera llamado el script. > > Esta tecnica no requiere Javascript, unicamente CSS, y ha sido > publicar hace poco en Slashdot y otros medios. > > No he escuchado que los navegadores se esten planteando si eliminar > esta caracteristica del navegador. Es una caracteristica de usabilidad > que normalmente se pierde casi siempre, cuando la gente aplica otras > reglas de CSS y elimina la diferencia visual entre enlaces visitados o > no. Pocas veces es necesaria, solo en los buscadores y en los > manuales. El problema es grave, si se explota a fondo no seria > extraño que los navegadores le pongan coto eliminando esta > caracteristica ( haciendo que a:visited no exista) aunque seria > polemico. > > > > -- > -- > ℱin del ℳensaje. > ___ > Lista de distribución Ovillo > Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org > Puedes modificar tus datos o desuscribirte en la siguiente dirección: > http://lists.ovillo.org/mailman/listinfo/ovillo ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
El 2 de julio de 2009 18:46, Tei escribió: > En este caso no-script no te sirve absolutamente para nada. La tecnica > solo requiere que el navegador soporte CSS. > > Perdon, no ley bien. Pero ya lei el articulo y por lo que entendi, si me sirve el adblock plus :D que tengo usando desde hace años (junto con noscript y cookiesafe) ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
alguno que me pueda explicar con plastilina esto, que en realidad ando perdido 2009/7/2 Tei > En este caso no-script no te sirve absolutamente para nada. La tecnica > solo requiere que el navegador soporte CSS. > > > 2009/7/3 Miguel Beltran R. : > > por eso uso no-script y si no se ve la pagina correctamente, busco otra, > a > > menos que sea desentemente conocida lo habilito temporalmente. > > > > El 2 de julio de 2009 10:49, Tei escribió: > > > >> En el caso de que el Google instalado en tu ordenador este roto, te echo > >> una > >> mano: > >> > >> > >> > http://it.slashdot.org/story/09/06/13/2125211/Sniffing-Browser-History-Without-Javascript?from=rss > >> > >> > >> 2009/7/2 Victor Hugo Arias Valencia > >> > >> > Uy, y esto donde lo has visto?... > >> > > >> > El 2 de julio de 2009 10:14, Tei escribió: > >> > > >> > > Se esta haciendo popular el uso de a:visited para leer que paginas > ha > >> > > visitado el usuario. Esto es un problema de seguridad grave. > >> > > > >> > > La tecnica consiste en poner un estilo especial a a:visited de modo > >> > > que llame a un script de estadistica (el script esta en la url de > >> > > background). Como solo se llamara si el enlace ha sido realmente > >> > > visitado, en otro caso no sera llamado el script. > >> > > >> > >> -- > >> -- > >> ℱin del ℳensaje. > > -- > -- > ℱin del ℳensaje. > ___ > Lista de distribución Ovillo > Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org > Puedes modificar tus datos o desuscribirte en la siguiente dirección: > http://lists.ovillo.org/mailman/listinfo/ovillo > -- - Mauricio Dulcce +54 1 5 36179028 Santos Dumont 2475 Capital Federal, Buenos Aires Argentina http://mauricio-dulce.neurona.com - ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
En este caso no-script no te sirve absolutamente para nada. La tecnica solo requiere que el navegador soporte CSS. 2009/7/3 Miguel Beltran R. : > por eso uso no-script y si no se ve la pagina correctamente, busco otra, a > menos que sea desentemente conocida lo habilito temporalmente. > > El 2 de julio de 2009 10:49, Tei escribió: > >> En el caso de que el Google instalado en tu ordenador este roto, te echo >> una >> mano: >> >> >> http://it.slashdot.org/story/09/06/13/2125211/Sniffing-Browser-History-Without-Javascript?from=rss >> >> >> 2009/7/2 Victor Hugo Arias Valencia >> >> > Uy, y esto donde lo has visto?... >> > >> > El 2 de julio de 2009 10:14, Tei escribió: >> > >> > > Se esta haciendo popular el uso de a:visited para leer que paginas ha >> > > visitado el usuario. Esto es un problema de seguridad grave. >> > > >> > > La tecnica consiste en poner un estilo especial a a:visited de modo >> > > que llame a un script de estadistica (el script esta en la url de >> > > background). Como solo se llamara si el enlace ha sido realmente >> > > visitado, en otro caso no sera llamado el script. >> > >> >> -- >> -- >> ℱin del ℳensaje. -- -- ℱin del ℳensaje. ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
por eso uso no-script y si no se ve la pagina correctamente, busco otra, a menos que sea desentemente conocida lo habilito temporalmente. El 2 de julio de 2009 10:49, Tei escribió: > En el caso de que el Google instalado en tu ordenador este roto, te echo > una > mano: > > > http://it.slashdot.org/story/09/06/13/2125211/Sniffing-Browser-History-Without-Javascript?from=rss > > > 2009/7/2 Victor Hugo Arias Valencia > > > Uy, y esto donde lo has visto?... > > > > El 2 de julio de 2009 10:14, Tei escribió: > > > > > Se esta haciendo popular el uso de a:visited para leer que paginas ha > > > visitado el usuario. Esto es un problema de seguridad grave. > > > > > > La tecnica consiste en poner un estilo especial a a:visited de modo > > > que llame a un script de estadistica (el script esta en la url de > > > background). Como solo se llamara si el enlace ha sido realmente > > > visitado, en otro caso no sera llamado el script. > > > > -- > -- > ℱin del ℳensaje. > ___ > Lista de distribución Ovillo > Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org > Puedes modificar tus datos o desuscribirte en la siguiente dirección: > http://lists.ovillo.org/mailman/listinfo/ovillo > -- Lo bueno de vivir un dia mas es saber que nos queda un dia menos de vida ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
En el caso de que el Google instalado en tu ordenador este roto, te echo una mano: http://it.slashdot.org/story/09/06/13/2125211/Sniffing-Browser-History-Without-Javascript?from=rss 2009/7/2 Victor Hugo Arias Valencia > Uy, y esto donde lo has visto?... > > El 2 de julio de 2009 10:14, Tei escribió: > > > Se esta haciendo popular el uso de a:visited para leer que paginas ha > > visitado el usuario. Esto es un problema de seguridad grave. > > > > La tecnica consiste en poner un estilo especial a a:visited de modo > > que llame a un script de estadistica (el script esta en la url de > > background). Como solo se llamara si el enlace ha sido realmente > > visitado, en otro caso no sera llamado el script. > -- -- ℱin del ℳensaje. ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
Uy, y esto donde lo has visto?... El 2 de julio de 2009 10:14, Tei escribió: > Se esta haciendo popular el uso de a:visited para leer que paginas ha > visitado el usuario. Esto es un problema de seguridad grave. > > La tecnica consiste en poner un estilo especial a a:visited de modo > que llame a un script de estadistica (el script esta en la url de > background). Como solo se llamara si el enlace ha sido realmente > visitado, en otro caso no sera llamado el script. > > Esta tecnica no requiere Javascript, unicamente CSS, y ha sido > publicar hace poco en Slashdot y otros medios. > > No he escuchado que los navegadores se esten planteando si eliminar > esta caracteristica del navegador. Es una caracteristica de usabilidad > que normalmente se pierde casi siempre, cuando la gente aplica otras > reglas de CSS y elimina la diferencia visual entre enlaces visitados o > no. Pocas veces es necesaria, solo en los buscadores y en los > manuales. El problema es grave, si se explota a fondo no seria > extraño que los navegadores le pongan coto eliminando esta > caracteristica ( haciendo que a:visited no exista) aunque seria > polemico. > > > > -- > -- > ℱin del ℳensaje. > ___ > Lista de distribución Ovillo > Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org > Puedes modificar tus datos o desuscribirte en la siguiente dirección: > http://lists.ovillo.org/mailman/listinfo/ovillo -- Docente tutor - Soporte Conocimiento Virtual Academia www.ConocimientoVirtual.edu.co www.ConocimientoVirtual.edu.co/foro ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo
[Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web
Se esta haciendo popular el uso de a:visited para leer que paginas ha visitado el usuario. Esto es un problema de seguridad grave. La tecnica consiste en poner un estilo especial a a:visited de modo que llame a un script de estadistica (el script esta en la url de background). Como solo se llamara si el enlace ha sido realmente visitado, en otro caso no sera llamado el script. Esta tecnica no requiere Javascript, unicamente CSS, y ha sido publicar hace poco en Slashdot y otros medios. No he escuchado que los navegadores se esten planteando si eliminar esta caracteristica del navegador. Es una caracteristica de usabilidad que normalmente se pierde casi siempre, cuando la gente aplica otras reglas de CSS y elimina la diferencia visual entre enlaces visitados o no. Pocas veces es necesaria, solo en los buscadores y en los manuales. El problema es grave, si se explota a fondo no seria extraño que los navegadores le pongan coto eliminando esta caracteristica ( haciendo que a:visited no exista) aunque seria polemico. -- -- ℱin del ℳensaje. ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://lists.ovillo.org/mailman/listinfo/ovillo