[opensuse-es] Avisos de seguridad en Firefox (Era: [OT] Malware para Firefox)
El 5/12/08, Carlos E. R. escribió:
Preferencias, seguridad. Las tres primeras cruces. Y más abajo, "warning messages". También tienes algunos ajustes en preferencias, content.
Entrando en la página no me salta ningún aviso (opensuse 11.1, firefox 3.x). También tengo activadas esas 3 opciones. Y ese aviso ¿cuándo lo saca Firefox? ¿cuándo algún script intenta acceder a archivos locales del disco? ¿Algún applet de java, quizá? :-? Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 5/12/08, Camaleón escribió:
Y ese aviso ¿cuándo lo saca Firefox? ¿cuándo algún script intenta acceder a archivos locales del disco? ¿Algún applet de java, quizá?
Vale... se trata de una variable en "about:config": signed.applet.base.code.principal.support Yo la tengo a "false", pero si la activo a "true" ya me salta el aviso. Pero ¿de qué avisa "exactamente"? :-? Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-12-05 a las 21:10 +0100, Camaleón escribió:
El 5/12/08, Camaleón escribió:
Y ese aviso ¿cuándo lo saca Firefox? ¿cuándo algún script intenta acceder a archivos locales del disco? ¿Algún applet de java, quizá?
Vale... se trata de una variable en "about:config":
signed.applet.base.code.principal.support
¡Ondiá! Claro, es la variable que necesitan los de hacienda para poder enviarles la declaración de la renta.
Yo la tengo a "false", pero si la activo a "true" ya me salta el aviso.
Pero ¿de qué avisa "exactamente"? :-?
De que quiere ejecutar un script (javascript o java, no lo se) el cual pide permiso para poder "read private data from any site or window". - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkk5jcEACgkQtTMYHG2NR9XmywCdEdAoyGXpzZejJ09d7Xtd7K98 TOYAnj9/FAT3Kg0wYu05BdvsSHs/saau =0AT1 -----END PGP SIGNATURE-----
El 5/12/08, Carlos E. R. escribió:
El 5/12/08, Camaleón escribió:
Vale... se trata de una variable en "about:config":
signed.applet.base.code.principal.support
¡Ondiá! Claro, es la variable que necesitan los de hacienda para poder enviarles la declaración de la renta.
Buf... pues no sé a quién culpar, y quiero culpar a alguien... pues culpo a los dos >:-) A ver, firefox debería ser más flexible y permitir o bien configurar unos dominios que se consideran seguros (o que saque el aviso sólo para estos dominios y rechace al resto)... ...Y la aeat no debería tener que leer datos desde el disco del usuario... es el usuario quien tendría que enviarlos a sus servidores... Ea :-)
Pero ¿de qué avisa "exactamente"? :-?
De que quiere ejecutar un script (javascript o java, no lo se) el cual pide permiso para poder "read private data from any site or window".
Java, pues. Si se trata de la aplicación de la aeat, es java. Huy, a saber "qué datos privados" lee... (ña, ña, ña) :-P Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
El 5/12/08, Carlos E. R. escribió:
El 5/12/08, Camaleón escribió:
Vale... se trata de una variable en "about:config":
signed.applet.base.code.principal.support
¡Ondiá! Claro, es la variable que necesitan los de hacienda para poder enviarles la declaración de la renta.
Buf... pues no sé a quién culpar, y quiero culpar a alguien... pues culpo a los dos >:-)
A ver, firefox debería ser más flexible y permitir o bien configurar unos dominios que se consideran seguros (o que saque el aviso sólo para estos dominios y rechace al resto)...
Claro, pues "http://www.infoworld.com/" no es seguro, salta el aviso. ¿Que leches hacen esos queriendo leer nuestro disco duro? Por un lado está la variable esa, que buscando veo artículos en gugle: http://java.sun.com/products/plugin/1.2/docs/netscape.html http://www.mozilla.org/projects/security/components/signed-scripts.html Por lo visto, permite a aplicaciones firmadas acceder a ciertas funciones, como las de leer el disco: pero el firefox avisará cuando se usen. Y si esa variable se activa, parece que se permite la ejecución sin estar firmados, pero avisará. Mmmm... Codebase Principals JavaScript supports codebase principals. A codebase principal is a principal derived from the origin of the script rather than from verifying a digital signature of a certificate. Since codebase principals offer weaker security, they are disabled by default in Mozilla. Codebase principals do not offer as strong a proof of identity, thus end users are unable to make informed choices on whether to grant the script extended privileges. ... With codebase principals enabled, when the user accesses the script, a dialog displays similar to the one displayed with signed scripts. The difference is that this dialog asks the user to grant privileges based on the URL and doesn't provide author verification A lo mejor debiera tener esa variable desactivada, y acordarme de activarla cuando necesite subir la declaración :-? No se si me he enterado bien del proceso, es tarde y estoy cansado. Trataré de leerlo otro día.
...Y la aeat no debería tener que leer datos desde el disco del usuario... es el usuario quien tendría que enviarlos a sus servidores...
Ea :-)
No es tan simple. Hay que enviar un fichero, ellos lo leen, te muestran en pantalla un resumen de la declaración, tu compruebas que es la que realmente querías enviar, y entonces das a "firmar", con lo que el firefox te pide la contraseña de tu certificado para que efectúes la firma de la declaración. Pero no es la única manera de enviar ficheros y que el usuario navegue para escoger el fichero: lo hago a menudo para enviar anexos al Bugzilla. No se exactamente cual es la diferencia entre uno y otro método, salvo que quizás sea un algo en java para todos los navegadores :-?
Pero ¿de qué avisa "exactamente"? :-?
De que quiere ejecutar un script (javascript o java, no lo se) el cual pide permiso para poder "read private data from any site or window".
Java, pues. Si se trata de la aplicación de la aeat, es java.
Huy, a saber "qué datos privados" lee... (ña, ña, ña) :-P
La aeat es fácil, la declaración. Esta gente, ni idea, porque no le doy permiso. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkk52YoACgkQtTMYHG2NR9VWnACdEvCA73J3itZu0W18xP7MTR6j InwAn3ohos6XjUwG2nnxJJEEXYX7lc/A =s1HB -----END PGP SIGNATURE-----
El 6/12/08, Carlos E. R. escribió:
Claro, pues "http://www.infoworld.com/" no es seguro, salta el aviso. ¿Que leches hacen esos queriendo leer nuestro disco duro?
Pues no lo sé... y como el aviso no explica exactamente qué es lo que considera por "habilidades avanzadas" pues no puedo saber si es dañino o no :-? Puede tratarse desde leer una cookie o hasta un gazapo del programador que haya apuntado a alguna ruta "file://" y haga saltar el aviso...
Por un lado está la variable esa, que buscando veo artículos en gugle:
http://java.sun.com/products/plugin/1.2/docs/netscape.html http://www.mozilla.org/projects/security/components/signed-scripts.html
Por lo visto, permite a aplicaciones firmadas acceder a ciertas funciones, como las de leer el disco: pero el firefox avisará cuando se usen. Y si esa variable se activa, parece que se permite la ejecución sin estar firmados, pero avisará. Mmmm...
Vaya Ud. a saber si avisará o no... a mí no me queda claro. (...)
A lo mejor debiera tener esa variable desactivada, y acordarme de activarla cuando necesite subir la declaración :-?
Pues creo que sería lo más seguro... la aeat debe ser la excepción (que haga que lo actives) y no la regla (que lo tengas activado siempre). De manera predeterminada, viene desactivado... por algo será.
No se si me he enterado bien del proceso, es tarde y estoy cansado. Trataré de leerlo otro día.
De todas formas, firefox debería ser más configurable en este aspecto. Es decir, permitir aplicar distintas políticas de seguridad según el dominio.
No es tan simple.
Hay que enviar un fichero, ellos lo leen, te muestran en pantalla un resumen de la declaración, tu compruebas que es la que realmente querías enviar, y entonces das a "firmar", con lo que el firefox te pide la contraseña de tu certificado para que efectúes la firma de la declaración.
No lo he utilizado nunca. Pero conociendo a la administración, seguramente han optado por el método más sencillo y el que menos les cuesta de implementar. Si al usuario le salta alguna alarma o aviso, que le den :-)
Pero no es la única manera de enviar ficheros y que el usuario navegue para escoger el fichero: lo hago a menudo para enviar anexos al Bugzilla. No se exactamente cual es la diferencia entre uno y otro método, salvo que quizás sea un algo en java para todos los navegadores :-?
No es lo mismo. Java es otro mundo: usa su propia vm, tiene una interacción con el usuario distinta de los componentes habituales web como formularios que utilizas para subir archivos en bugzilla, la vm tiene sus propios fallos de seguridad, etc...
La aeat es fácil, la declaración.
Eso es lo que a todos nos gustaría pensar... pero si es la aplicación la que accede al disco y no el usuario quien lo envía, pues no lo sabemos >:-)
Esta gente, ni idea, porque no le doy permiso.
Es poco verboso y eso es un problema porque la falta de información puede confundir más que ayudar al usuario. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (2)
-
Camaleón -
Carlos E. R.