viernes, enero 08, 2010

Mr. Bean

Supongo que todos habréis leído o visto la noticia sobre el supuesto "hackeo" de la web de la presidencia española de la Unión Europea, en la que un "hacker" habría conseguido colar la foto de Mr. Bean. Ya se ha explicado que en realidad nadie se hizo con el control de la web, ni consiguió subir archivo alguno al servidor, sino que en realidad se trataba de la explotación de una vulnerabilidad de Cross Site Scripting (XSS), mediante la cual, al pasar como parámetro a una URL del sitio un código script, este era ejecutado por aquellos que accedían a esa URL (haciendo click en un enlace en un email o un blog, por ejemplo). XSS es obviamente una vulnerabilidad, sobre todo para sitios que suelen recibir ataques de phishing, como bancos o tiendas online, aunque en el caso de esta web era más un problema de credibilidad que de seguridad como tal, ya que se trataba de XSS no persistente en una web en la que la sesión de cada usuario no tiene ningún valor especial, y solo afectaba a quienes accediesen a una URL con código malicioso, al contrario de lo que describieron la mayoría de medios de comunicación (un ejemplo), que daban a entender que afectaba a todos los visitantes de la web.

En cualquier caso, me he tomado la libertad de utilizar el mismo código en la página web de un medio de comunicación que dio la noticia como un "ataque a la web de la presidencia" causado por "un error de principiantes". Mientras no lo arreglen, si hacéis click sobre este enlace de El Mundo (o este de Expansión, por cierto) realizaréis un "ataque" a la web del "líder de información en español" causado por un "error de principiantes":

2 comentarios

Anónimo dijo el 9/1/10 12:52 p. m.

No se entiende muy bien si lo que pretendes defender es una web que ha costado 12 millones de euros (lo escribo y cada vez me lo creo menos), que tienen a la gente cobrando 8000 euros mensuales y que ha estado inoperativa mucho tiempo desde el supuesto ataque, que creo es lo de menos.

Evaristo dijo el 9/1/10 3:10 p. m.

Anónimo, no se entiende muy bien porque eso de que yo pretendo defender lo que ha costado la web no aparece por ningún sitio en mi post. Yo lo que hago es una crítica a quienes no solo equivocaron totalmente la descripción del problema al informar de él, sino que además hablaron de error de principiantes cuando su propia web tiene la misma vulnerabilidad. El que esté libre de XSS que tire la primera piedra.

Publicar un comentario

eXTReMe Tracker