Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web

2009-07-03 Por tema Daniel Navarro
Hola,

Obviamente, una forma de evitar que se conozca qué sitios has visitado
consiste en desactivar el historial de páginas visitadas. En Firefox:
  Herramientas > Opciones > Privacidad y desmarcar "Guardar mi historial..."


Demo en:
  http://www.making-the-web.com/misc/sites-you-visit/nojs/

Saludos.

El 2 de julio de 2009 17:14, Tei escribió:
> Se esta haciendo popular el uso de a:visited para leer que paginas ha
> visitado el usuario. Esto es un problema de seguridad grave.
>
> La tecnica consiste en poner un estilo especial a a:visited de modo
> que llame a un script de estadistica (el script esta en la url de
> background). Como solo se llamara si el enlace ha sido realmente
> visitado, en otro caso no sera llamado el script.
>
> Esta tecnica no requiere Javascript, unicamente CSS, y ha sido
> publicar hace poco en Slashdot y otros medios.
>
> No he escuchado que los navegadores se esten planteando si eliminar
> esta caracteristica del navegador. Es una caracteristica de usabilidad
> que normalmente se pierde casi siempre, cuando la gente aplica otras
> reglas de CSS y elimina la diferencia visual entre enlaces visitados o
> no. Pocas veces es necesaria, solo en los buscadores y en los
> manuales.  El problema es grave, si se explota a fondo no seria
> extraño que los navegadores le pongan coto eliminando esta
> caracteristica ( haciendo que a:visited no exista) aunque seria
> polemico.
>
>
>
> --
> --
> ℱin del ℳensaje.
> ___
> Lista de distribución Ovillo
> Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
> Puedes modificar tus datos o desuscribirte en la siguiente dirección: 
> http://lists.ovillo.org/mailman/listinfo/ovillo
___
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección: 
http://lists.ovillo.org/mailman/listinfo/ovillo

Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web

2009-07-03 Por tema Tei
2009/7/3 Philipp Keweloh :
...
> Y teniendo en cuenta
> esto, si yo añado en mi hoja de estilos lo siguiente, habré acabado
> con el problema de privacidad:
>
> a:visited {
>   background: none !important;
> }
>

Me parece una idea bastante buena :-)

...
> Supongo que se puede abordar de otras maneras, pero no creo que sea
> tan grave este funcionalidad de los estilos en cascada, al menos como
> para vetarla de todos los navegadores. Además, me parece una
> herramienta interesante para generar unas estadísticas sencillas de
> una página, aunque todavía no lo haya puesto en práctica.

Hombre.  Permite mapear la red interna, investigar que modelo de
router tiene una persona (si ha entrado con ese navegador en la pagina
del router en alguna ocasion), comprobar si cierta persona es amiga
suya en facebook,  ver si ha visitado la pagina porno X, Y, Z. , si
utiliza ebay o amazon, si tiene cuenta en el banco Cai Zaragoza o en
la Caixa (suponiendo que entre a la pagina del banco con ese
navegador), si entra al foro coches, si del forocoches ha leido el
hilo X, o visto la imagen Z, que ha votado en una encuesta de un foro
que visita (si ha votado y la peticion de votar es GET)...   y asi
hasta el infinito, el unico limite es la imaginacion o la mala sombra
de uno sobre lo que quieras averiguar de la persona.

Algunas cosas son criticas.  Saber el modelo de router puede ayudar a
decidir que ataque se puede realizar contra ese router ...que exploit
hay que usar.  Saber que banco utiliza, permite personalizar un
fishing. Si tienes cuenta de la caixa, es mas probable que piques en
un fishing de la caixa.



-- 
--
ℱin del ℳensaje.
___
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección: 
http://lists.ovillo.org/mailman/listinfo/ovillo

Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web

2009-07-03 Por tema Philipp Keweloh
Hola Tei:

Ya leí sobre este tema hace no mucho, y me parece un tema muy
interesante. Pero pienso que tiene fácil solución y que actualmente la
mayoría de los navegadores ya lo contemplan, aunque indirectamente y
sin quererlo, ya que la solución depende totalmente del usuario.

Es decir, todo navegador tiene la posibilidad de que el usuario pueda
incluir su propia hoja de estilos para que se aplique en última
instancia sobre las páginas por las que navega. Y teniendo en cuenta
esto, si yo añado en mi hoja de estilos lo siguiente, habré acabado
con el problema de privacidad:

a:visited {
   background: none !important;
}

Puede que me equivoque y se me esté escapando algo, y tampoco he hecho
ninguna prueba, sólo es pura deducción desde mi racional experiencia
:). Y si es así y estoy en lo cierto, lo único que deberían hacer los
navegadores para darle una fácil solución al problema, es añadir por
ejemplo este estilo como una opción interna dentro de las preferencias
del programa, algo así como " ¿Activar protección de privacidad
en los enlaces visitados?" y fin del problema.

Supongo que se puede abordar de otras maneras, pero no creo que sea
tan grave este funcionalidad de los estilos en cascada, al menos como
para vetarla de todos los navegadores. Además, me parece una
herramienta interesante para generar unas estadísticas sencillas de
una página, aunque todavía no lo haya puesto en práctica.

-- 
Philipp Keweloh
"Love all, trust a few." - Shakespeare

El 2 de julio de 2009 17:14, Tei escribió:
> Se esta haciendo popular el uso de a:visited para leer que paginas ha
> visitado el usuario. Esto es un problema de seguridad grave.
>
> La tecnica consiste en poner un estilo especial a a:visited de modo
> que llame a un script de estadistica (el script esta en la url de
> background). Como solo se llamara si el enlace ha sido realmente
> visitado, en otro caso no sera llamado el script.
>
> Esta tecnica no requiere Javascript, unicamente CSS, y ha sido
> publicar hace poco en Slashdot y otros medios.
>
> No he escuchado que los navegadores se esten planteando si eliminar
> esta caracteristica del navegador. Es una caracteristica de usabilidad
> que normalmente se pierde casi siempre, cuando la gente aplica otras
> reglas de CSS y elimina la diferencia visual entre enlaces visitados o
> no. Pocas veces es necesaria, solo en los buscadores y en los
> manuales.  El problema es grave, si se explota a fondo no seria
> extraño que los navegadores le pongan coto eliminando esta
> caracteristica ( haciendo que a:visited no exista) aunque seria
> polemico.
>
>
>
> --
> --
> ℱin del ℳensaje.
> ___
> Lista de distribución Ovillo
> Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
> Puedes modificar tus datos o desuscribirte en la siguiente dirección: 
> http://lists.ovillo.org/mailman/listinfo/ovillo
___
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección: 
http://lists.ovillo.org/mailman/listinfo/ovillo

Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web

2009-07-02 Por tema Miguel Beltran R.
El 2 de julio de 2009 18:46, Tei  escribió:

> En este caso no-script no te sirve absolutamente para nada. La tecnica
> solo requiere que el navegador soporte CSS.
>
>
Perdon, no ley bien.
Pero ya lei el articulo y por lo que entendi, si me sirve el adblock plus :D
que tengo usando desde hace años (junto con noscript y cookiesafe)
___
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección: 
http://lists.ovillo.org/mailman/listinfo/ovillo


Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web

2009-07-02 Por tema Mauricio Dulce
alguno que me pueda explicar con plastilina esto, que en realidad ando
perdido

2009/7/2 Tei 

> En este caso no-script no te sirve absolutamente para nada. La tecnica
> solo requiere que el navegador soporte CSS.
>
>
> 2009/7/3 Miguel Beltran R. :
> > por eso uso no-script y si no se ve la pagina correctamente, busco otra,
> a
> > menos que sea desentemente conocida lo habilito temporalmente.
> >
> > El 2 de julio de 2009 10:49, Tei  escribió:
> >
> >> En el caso de que el Google instalado en tu ordenador este roto, te echo
> >> una
> >> mano:
> >>
> >>
> >>
> http://it.slashdot.org/story/09/06/13/2125211/Sniffing-Browser-History-Without-Javascript?from=rss
> >>
> >>
> >> 2009/7/2 Victor Hugo Arias Valencia 
> >>
> >> > Uy, y esto donde lo has visto?...
> >> >
> >> > El 2 de julio de 2009 10:14, Tei  escribió:
> >> >
> >> > > Se esta haciendo popular el uso de a:visited para leer que paginas
> ha
> >> > > visitado el usuario. Esto es un problema de seguridad grave.
> >> > >
> >> > > La tecnica consiste en poner un estilo especial a a:visited de modo
> >> > > que llame a un script de estadistica (el script esta en la url de
> >> > > background). Como solo se llamara si el enlace ha sido realmente
> >> > > visitado, en otro caso no sera llamado el script.
> >> >
> >>
> >> --
> >> --
> >> ℱin del ℳensaje.
>
> --
> --
> ℱin del ℳensaje.
> ___
> Lista de distribución Ovillo
> Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
> Puedes modificar tus datos o desuscribirte en la siguiente dirección:
> http://lists.ovillo.org/mailman/listinfo/ovillo
>



-- 
-
Mauricio Dulcce

+54 1 5 36179028
Santos Dumont 2475
Capital Federal, Buenos Aires Argentina

http://mauricio-dulce.neurona.com

-
___
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección: 
http://lists.ovillo.org/mailman/listinfo/ovillo

Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web

2009-07-02 Por tema Tei
En este caso no-script no te sirve absolutamente para nada. La tecnica
solo requiere que el navegador soporte CSS.


2009/7/3 Miguel Beltran R. :
> por eso uso no-script y si no se ve la pagina correctamente, busco otra, a
> menos que sea desentemente conocida lo habilito temporalmente.
>
> El 2 de julio de 2009 10:49, Tei  escribió:
>
>> En el caso de que el Google instalado en tu ordenador este roto, te echo
>> una
>> mano:
>>
>>
>> http://it.slashdot.org/story/09/06/13/2125211/Sniffing-Browser-History-Without-Javascript?from=rss
>>
>>
>> 2009/7/2 Victor Hugo Arias Valencia 
>>
>> > Uy, y esto donde lo has visto?...
>> >
>> > El 2 de julio de 2009 10:14, Tei  escribió:
>> >
>> > > Se esta haciendo popular el uso de a:visited para leer que paginas ha
>> > > visitado el usuario. Esto es un problema de seguridad grave.
>> > >
>> > > La tecnica consiste en poner un estilo especial a a:visited de modo
>> > > que llame a un script de estadistica (el script esta en la url de
>> > > background). Como solo se llamara si el enlace ha sido realmente
>> > > visitado, en otro caso no sera llamado el script.
>> >
>>
>> --
>> --
>> ℱin del ℳensaje.

-- 
--
ℱin del ℳensaje.
___
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección: 
http://lists.ovillo.org/mailman/listinfo/ovillo

Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web

2009-07-02 Por tema Miguel Beltran R.
por eso uso no-script y si no se ve la pagina correctamente, busco otra, a
menos que sea desentemente conocida lo habilito temporalmente.

El 2 de julio de 2009 10:49, Tei  escribió:

> En el caso de que el Google instalado en tu ordenador este roto, te echo
> una
> mano:
>
>
> http://it.slashdot.org/story/09/06/13/2125211/Sniffing-Browser-History-Without-Javascript?from=rss
>
>
> 2009/7/2 Victor Hugo Arias Valencia 
>
> > Uy, y esto donde lo has visto?...
> >
> > El 2 de julio de 2009 10:14, Tei  escribió:
> >
> > > Se esta haciendo popular el uso de a:visited para leer que paginas ha
> > > visitado el usuario. Esto es un problema de seguridad grave.
> > >
> > > La tecnica consiste en poner un estilo especial a a:visited de modo
> > > que llame a un script de estadistica (el script esta en la url de
> > > background). Como solo se llamara si el enlace ha sido realmente
> > > visitado, en otro caso no sera llamado el script.
> >
>
> --
> --
> ℱin del ℳensaje.
> ___
> Lista de distribución Ovillo
> Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
> Puedes modificar tus datos o desuscribirte en la siguiente dirección:
> http://lists.ovillo.org/mailman/listinfo/ovillo
>



-- 

Lo bueno de vivir un dia mas
es saber que nos queda un dia menos de vida
___
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección: 
http://lists.ovillo.org/mailman/listinfo/ovillo

Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web

2009-07-02 Por tema Tei
En el caso de que el Google instalado en tu ordenador este roto, te echo una
mano:

http://it.slashdot.org/story/09/06/13/2125211/Sniffing-Browser-History-Without-Javascript?from=rss


2009/7/2 Victor Hugo Arias Valencia 

> Uy, y esto donde lo has visto?...
>
> El 2 de julio de 2009 10:14, Tei  escribió:
>
> > Se esta haciendo popular el uso de a:visited para leer que paginas ha
> > visitado el usuario. Esto es un problema de seguridad grave.
> >
> > La tecnica consiste en poner un estilo especial a a:visited de modo
> > que llame a un script de estadistica (el script esta en la url de
> > background). Como solo se llamara si el enlace ha sido realmente
> > visitado, en otro caso no sera llamado el script.
>

-- 
--
ℱin del ℳensaje.
___
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección: 
http://lists.ovillo.org/mailman/listinfo/ovillo

Re: [Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web

2009-07-02 Por tema Victor Hugo Arias Valencia
Uy, y esto donde lo has visto?...

El 2 de julio de 2009 10:14, Tei  escribió:

> Se esta haciendo popular el uso de a:visited para leer que paginas ha
> visitado el usuario. Esto es un problema de seguridad grave.
>
> La tecnica consiste en poner un estilo especial a a:visited de modo
> que llame a un script de estadistica (el script esta en la url de
> background). Como solo se llamara si el enlace ha sido realmente
> visitado, en otro caso no sera llamado el script.
>
> Esta tecnica no requiere Javascript, unicamente CSS, y ha sido
> publicar hace poco en Slashdot y otros medios.
>
> No he escuchado que los navegadores se esten planteando si eliminar
> esta caracteristica del navegador. Es una caracteristica de usabilidad
> que normalmente se pierde casi siempre, cuando la gente aplica otras
> reglas de CSS y elimina la diferencia visual entre enlaces visitados o
> no. Pocas veces es necesaria, solo en los buscadores y en los
> manuales.  El problema es grave, si se explota a fondo no seria
> extraño que los navegadores le pongan coto eliminando esta
> caracteristica ( haciendo que a:visited no exista) aunque seria
> polemico.
>
>
>
> --
> --
> ℱin del ℳensaje.
> ___
> Lista de distribución Ovillo
> Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
> Puedes modificar tus datos o desuscribirte en la siguiente dirección:
> http://lists.ovillo.org/mailman/listinfo/ovillo




-- 
Docente tutor - Soporte
Conocimiento Virtual Academia
www.ConocimientoVirtual.edu.co
www.ConocimientoVirtual.edu.co/foro
___
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección: 
http://lists.ovillo.org/mailman/listinfo/ovillo

[Ovillo] [CSS][Seguridad] a:visited permite romper la privacidad del navegador web

2009-07-02 Por tema Tei
Se esta haciendo popular el uso de a:visited para leer que paginas ha
visitado el usuario. Esto es un problema de seguridad grave.

La tecnica consiste en poner un estilo especial a a:visited de modo
que llame a un script de estadistica (el script esta en la url de
background). Como solo se llamara si el enlace ha sido realmente
visitado, en otro caso no sera llamado el script.

Esta tecnica no requiere Javascript, unicamente CSS, y ha sido
publicar hace poco en Slashdot y otros medios.

No he escuchado que los navegadores se esten planteando si eliminar
esta caracteristica del navegador. Es una caracteristica de usabilidad
que normalmente se pierde casi siempre, cuando la gente aplica otras
reglas de CSS y elimina la diferencia visual entre enlaces visitados o
no. Pocas veces es necesaria, solo en los buscadores y en los
manuales.  El problema es grave, si se explota a fondo no seria
extraño que los navegadores le pongan coto eliminando esta
caracteristica ( haciendo que a:visited no exista) aunque seria
polemico.



-- 
--
ℱin del ℳensaje.
___
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección: 
http://lists.ovillo.org/mailman/listinfo/ovillo