Categories
Firefox Miniposts

Firefox: Remote Command Execution

Las mismas personas que reportaron el problema de seguridad que involucraba tanto a Internet Explorer como a Firefox, esta vez muestran más vulnerabilidades que no sólo afectan a todas las versiones de Firefox, sino también a Netscape Navigator 9 y Mozilla.

Pruebas de concepto:

Segun el hilo publicado en sla.ckers.org, se vienen más problemas de este tipo.

Categories
Firefox

Nuevas características de seguridad en Firefox 3

#1 Mayor claridad en el seguimiento de URL`s

Barra_firefox_3

Esto ayudara a identificar mejor las direcciones donde nos encontramos (por así decirlo mejora contra ataques de phishing).

#2 Técnicas de detección de malware & páginas potencialmente peligrosas

firefox

En este aspecto Firefox no innova demasiado y ejecutas acciones predeterminadas para ejecutable (para usuarios despistados) y tratamiento sobre controles activeX. Para detección de páginas potencialmente peligrosas Firefox seguirá como desde la versión 1.5. Listara la página que visitemos, la comparara con una lista negra (elaborada en colaboración con google) y si la página esta listada como "negra" automáticamente generara un aviso en forma de ventana emergente como se puede apreciar en la imagen.

#3 Más claridad con los certificados de seguridad (SSL)

larry-041.png

Parece ser que este sera el aspecto de la interfaz de FF3 cuando nos encontremos ante una página con certificados de seguridad, mayor transparencia que nos permitirá ver con toda la información que acredita al cifrado (si ya se que ahora también se puede pero así queda mucho más claro).

Además de cientos de novedades... mejora la gestión de memoria (lo he podido comprobar con las últimas versiones alpha´s) interfaz gráfica mucho más atractiva, el lanzamiento esta planeado para septiembre de este año según leí.

Categories
Firefox Seguridad Web XSS

Firefox 2.0.0.5 finalmente implementa las cookies HttpOnly

Un poco antes de lo esperado, esta última actualización de Firefox (2.0.0.5), finalmente incluye el soporte para cookies HttpOnly.

Ejemplos de uso en ASP.NET y PHP:

asp:

<%@ Page Language="C#" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<script runat="server">

    protected void Page_Load(object sender, EventArgs e)
    {
        Response.Cookies["Demo"].Value = "Prueba";
        Response.Cookies["Demo"].Secure = true;
    }
</script>

<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
    <title>HttpOnly Firefox 2.0.0.5</title>
    <script type="text/javascript">
    alert(document.cookie);
    </script>
</head>
<body>

</body>
</html>

php:

<?php

// PHP 4
setcookie('foo', 'test', null, '/;HttpOnly');
/*
PHP 5

setcookie('foo', 'test', null, null, null, true);
// o
ini_set("session.cookie_httponly", 1);
// o
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
*/

?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
<head>
    <title>HttpOnly Firefox 2.0.0.5</title>
        <script type="text/javascript">
            //<![CDATA[
            alert(document.cookie)
            //]]>
        </script>
</head>
</html>

Como mencioné anteriormente, esta característica no es la panacea para evitar el robo de cookies a través de XSS, pero por lo menos reducirá un poco los vectores de ataque.

Categories
Firefox Miniposts

Planeta Firefox

Nació un nuevo Planeta Firefox, aunque no sé que tanto se pueda escribir sobre Firefox, este pequeño blog está en la lista de colaboradores.

Si desean formar parte de ese planeta, escriban a alex@planetafirefox.com.

Categories
Firefox

A veces es bueno cerrar el navegador…

Este es el resultado de tener abierto Firefox durante unos días:

Consumo de memoria de Firefox luego de algunos días

Este consumo de memoria no sería problema siempre y cuando me deje trabajar bien, pero al llegar a este punto, el navegador se pone bastante lento al abrir/cerrar pestañas y entrar a cierto tipo de páginas (aquellas que contienen flash o hacen uso intensivo de javascript -- google reader, gmail).

Por el momento, no tengo intenciones de usar Internet Explorer u Opera (ninguno provee la misma funcionalidad que consigo con las extensiones de Firefox), así que tendré que seguir sufriendo hasta que los desarrolladores de este navegador provean mejoras en el consumo de memoria y rendimiento.