18 octubre 2007

Fallo de seguridad en AdEmails

Para empezar he de decir que yo no entiendo demasiado de esto, hablo como profano en la materia (quizá profanador), así que, Jony, corrígeme si me equivoco. Y, para seguir, también digo que no le mando esto a la gente de AdEmails porque no encuentro en su página ninguna forma de contactar con ellos, dato que también deberían tener en cuenta.

La cosa va como sigue: AdEmails ofrece un servicio gratuito de estadísticas y yo lo utilizo. En realidad el fallo de seguridad es mínimo, una nimiedad, pero bueno, ahí está. AdEmails permite que las estadísticas de tu web o de tu blog sean públicas o privadas, según quieras. Pues bien: si una persona que tiene un contador de AdEmails y ha decidido que sus estadísticas sean privadas recibe una visita desde mi blog y pincha en el enlace elburdeldeldelirio desde la página de AdEmails en la que ve sus estadísticas, en mis estadísticas aparece la dirección de su página de estadísticas, y con esa dirección yo puedo entrar directamente a sus estadísticas sin que se me pida la contraseña de la cuenta.

¿Y las estadísticas de qué página he podido ver de esta forma fortuita? Pues la de los Delirios de una profesora reconvirtiéndose, blog que hoy recibirá muchas más visitas de las que suele.

Mientras que no lo solucionen, la única manera de evitarlo sería copiar la dirección, pegarla en la barra de navegación y darle al intro.

4 comentarios:

Jonathan dijo...

Pues ... sip, efectivamente, es un agujero de seguridad, pero conceptualmente no es tan nimio.

La página de la que llegas es lo que llamamos "Referer". El referer lo proporciona el navegador para estadísticas, es algo normal. El problema es cuando queremos mantener "secretas" ciertas direcciones para accesos privados.

Resulta que tenemos el mismo problema de seguridad con google calendar, y claro, no debe ser nada agradable que alguien vea tu agenda online donde pones "a las 9:00 llevar a los niños al cole y mandarle flores a la otra". Donde va a parar... mucho más pernicioso que lo de las estadísticas.

El fallo es "conceptual". No se deberían usar direcciones crípticas para esconder webs secretas... por mucha funcionalidad que pueda ofrecer al usuario.

Jonathan dijo...

Vale ... 15 minutejos de busquedas y podemos ofrecer soluciones:

Se puede configurar firefox para que no envíe referers. Esto se hace escribiendo en la barra de direcciones about:config con lo que entramos en una pantalla de configuración del navegador. Luego buscamos la propiedad Network.http.sendRefererHeader y la damos un valor 0 en lugar de 2 que es el valor por defecto.

Una vez hecho esto, no se enviará el referer, pero es posible que no podamos hacer ciertas descargas de internet, debido a protecciones de seguridad de algunas webs. Esto lo solucionamos instalando la extensión para firefox "Send referer" que permite abrir una web con el botón secundario y enviando el referer en los (escasos) enlaces de descargas que den problemas.a

Pau dijo...

Bueno, siendo la "afectada" creo que debo decir algo XD
Soy prácticamente analfabeta en todo lo que no sea hiperbásico en estas lides bloggeras y por puro ego me hacía ilusión ver si alguien leía mis delirios... me llevó cierto tiempo encontrar un contador que, tras quitarle la publicidad que le ponen siempre, no se volviera loco con el tiempo (por alguna razón acababa siendo sustituido indefectiblemente por "peluquerías noséqué") así que un día encontré ese y ahora veo que tiene un fallo de seguridad... sinceramente siendo las estadísticas me da un poco igual, como decía las puse porque me hacía cierta gracia, pero sí me parece algo preocupante que algo a lo que yo entro con una clave sea de tan fácil acceso... me da qué pensar... veo que hay soluciones así que, en cuanto termine las dichosas tutorías y duerma más de seis horas seguidas me pondré a solucionarlo siguiendo los pasos que dais... Así que gracias por el aviso ;)

ed.expunctor dijo...

----Sabía yo que me solucionabas el problema, Jony. A ver si los de AdEmails llegan aquí y te contratan o algo...

----Mira que yo también decía que el fallo de seguridad era una nimiedad, pero si le hacemos caso a Jony fíjate: el fallo es conceptual, así que no puede ser tan nimio, pero bueno, en realidad hacemos privadas las estadísticas porque en teoría sólo deberían interesar al autor del blog, aunque de vez en cuando hagamos ejercicios egolátricos y las mostremos al mundo.

Salud!