Popup Blockers vulnerables
No me gusta dar malas noticias, pero creo pertinente publicarla para el saber de todos los paganos que lleguen a mi blog, Giorgio Maone (el creador del NoScript Security add-on para firefox) acaba de publicar en su blog una tíƒÂ©cnica para crear una ventana desde el navegador usando Java puro. Lo malo de esto es que puede tomar todo el ancho de la pantalla (Full Screen, el sueíƒÂ±o híƒÂºmedo de todo Phisher), y no puede ser cerrado (el sueíƒÂ±o híƒÂºmedo de todo publicista). Veamos en palabras del mismo autor:
Imagine youí¢â‚¬â„¢re a web advertiser.
Imagine you can open a popup window from a web page defeating any popup blocker.
Imagine this popup can invade the whole desktop, full screen.
Imagine this popup has no title bar, no menus, no toolbar, no location bar, no border and no buttons. No mean to close it.
Imagine user caní¢â‚¬â„¢t move or minimize this popup. It will go away only when the browser is killed or your show is doneí¢â‚¬Â¦
En conclusiíƒÂ³n esto supone un gran agujero de seguridad ya que por el momento nosotros como usuarios no podemos hacer nada aparentemente, lo íƒÂºnico que puedes hacer es tumbar el proceso del browser lo que supone interrumpir lo que estabas haciendo y volver a empezar, lo que veo algo realmente molesto y engorroso (para el usuario medio).
En su blog el autor muestra algunos ejemplos, los cuales est탡n escritos en el mas puro Java “Write Once, Hack anywhere”.
Link | Giorgio Maone
