Un informático en el lado del mal. Google Chrome aún no alerta de passwords enviadas en URLs

---

Google Chrome aún no alerta de passwords enviadas en URLs Posted: 06 Apr 2014 03:01 PM PDT Hace ya tiempo que, cuando aún andábamos por Informática 64, publiqué un artículo sobre la desprotección que había en ciertos navegadores cuándo se pedía una URL en la que se envían el usuario y la contraseña. Esto es una forma de explotar ataques CSRF que abusen de dispositivos que cuenten con contraseñas por defecto. En aquel entonces os contaba que tantoMicrosoft Internet Explorer, como Apple Safari tenían una protección basada en una alerta de seguridad que se muestra al usuario. Esta es la que aparece en Apple Safari. En aquel entonces ni Google Chrome, ni Mozilla Firefox tenían esa protección. Figura 1: Alerta de envío de passwords en Apple Safari Ahora, en la lista, como me alertó mi compañero Ricardo, se ha quedado solo Google Chrome, ya que Mozilla Firefox SÍ que ha añadido esta alerta, tal y como se puede ver en la siguiente captura. Figura 2: Mozilla Firefox ahora alerta del envío de passwords en las URLS Esta alerta existe en cualquier situación en la que vayan credenciales, incluso cuando se envía el usuario y la password a un sitio que no lo está requiriendo. Se informa de esto para que el usuario tenga la mayor información posible ya que esto puede ser más peligroso aún. Figura 3: Mozilla Firefox alerta también cuando se envía a sitios que no lo piden Google Chrome sigue sin alertar de nada, lo que no parece tener mucho sentido desde el punto de vista de seguridad, así que vaya este post para llevar una cuenta de cuánto tarda en añadirlo. Saludos Malignos!  Un informático en el lado del mal - Google+ RSS 0xWord Seguridad Apple