Clickjacking Que es? Como protegernos?

"No es necesario ser paranoicos para aceptar que nos pueden vigilar y hasta controlar desde las paginas web que visitamos"

Recientemente, dos investigadores de ha.ckers.org Robert "RSnake" Hansen y Jeremiah Grossman publicaron noticias acerca de un problema de vulnerabilidad el cual afecta a todos los navegadores web de la actualidad y que podría monitorear y controlar la actividad de un usuario en un sitio web especifico. Hasta el momento ningún navegador del web se encuentra exento, por lo menos no los que todo mundo utiliza ya que es un problema relativamente reciente, no esta directamente relacionado con javascript y no es tan fácil de solucionar con un simple parche o actualización de los mismos. Los únicos que no se ven afectados por este grave problema son lynx, Links, w3m y similares.

Ahora dos preguntas vienen a nuestra mente:

En que consiste realmente este problema?

Clickjacking, que se podría traducir como secuestro del clic, se refiere a la capacidad del desarrollador o dueño de un sitio web de tomar el control de los vinculos que nuestro navegador visita, botón, o cualquier elemento de la página sin que ni siquiera uno vea que está sucediendo. Esto lo hacen utilizando un Frame o iFrame con opacidad nula por encima del contenido original de la pagina de manera que el usuario, al tratar de dar clic sobre los elementos de la pagina original, realmente interactúe con los elementos ocultos de este iFrame sin darse cuenta. Este iFrame, a su vez, puede en realidad ser parte de un dominio totalmente diferente al de la pagina original que cubre y tendría la capacidad de hacer requests via Ajax a repositorios de datos de dichos dominios.

Dicho de otra forma, imaginemos un cristal (opacidad 0) con algo debajo, intentamos tocar con el dedo lo que hay debajo, pero tocamos el cristal, esto es lo mismo que sucede cuando ponemos un iFrame con opacidad 0 (invisible) encima de ciertos elementos de nuestra web: el usuario irá a hacer clic en nuestros elementos, pero hará clic dentro del iFrame.

"Imagen que ejemplifica las dos capas invisibles que puede tener un sitio web: la capa que vemos y la capa con la que realmente interactuamos"

Ahora imaginemos que cargamos en el iFrame una página de noticias, como meneame, fresqui, o digg, lo volvemos transparente, y debajo metemos un botón que diga: haz clic aquí, posicionándolo justo exactamente debajo de donde aparece el botón para votar a la noticia, dentro de la página de noticias. Cuando el usuario haga clic en nuestro botón, que está debajo del iFrame transparente, justo donde está el botón para votar de la web de noticias que hay cargada dentro del iFrame, hará clic en el botón votar de la pagina que hay dentro del iFrame.

Que puedo hacer para protegerme?

Como habíamos mencionado, no es tan fácil como agregar un parche o actualizar a nuestra ultima versión de nuestro navegador. Lo primero seria evitar las visitas a sitios de poca fiabilidad (ustedes saben a cuales me refiero) y si no estamos seguros de adonde nos llevara un link o un botón, dar clic derecho sobre este y revisar sus propiedades.

• Opera: Vayanse a la pagina opera:config y deshabiliten la opción iFrames.

"Captura de pantalla de Opera, mostrando la pagina de configuracion donde se deshabilitan los iFrames"

• Firefox: Instalar el plugin (complemento, add-on o como le quieran llamar) llamado NoScript el cual, al igual que el plugin FlashBlock que te bloquea los elementos Flash de una pagina, este te permite bloquear una gran cantidad de tipos de contenido de una pagina, entre estos, los scripts, animaciones flash, aplicaciones Java y por supuesto, iFrames.

"Captura de pantalla de Firefox, mostrando en su barra de estado la informacion de bloqueos de NoScript y en una ventana emergente, la configuracion del NoScript y donde se deshabilitan los iFrames"

• Internet Explorer Safari y Chrome: Resignense a estar vulnerables, esperen a que los fabricantes encuentren una solución o cambien de navegador.

addon chrome clickjacking complementos computadoras firefox iframe internet java navegador network Opera safari seguridad

Clickjacking Que es? Como protegernos?

"No es necesario ser paranoicos para aceptar que nos pueden vigilar y hasta controlar desde las paginas web que visitamos"

Recientemente, dos investigadores de ha.ckers.org Robert "RSnake" Hansen y Jeremiah Grossman publicaron noticias acerca de un problema de vulnerabilidad el cual afecta a todos los navegadores web de la actualidad y que podría monitorear y controlar la actividad de un usuario en un sitio web especifico. Hasta el momento ningún navegador del web se encuentra exento, por lo menos no los que todo mundo utiliza ya que es un problema relativamente reciente, no esta directamente relacionado con javascript y no es tan fácil de solucionar con un simple parche o actualización de los mismos. Los únicos que no se ven afectados por este grave problema son lynx, Links, w3m y similares.

Ahora dos preguntas vienen a nuestra mente:

En que consiste realmente este problema?

Clickjacking, que se podría traducir como secuestro del clic, se refiere a la capacidad del desarrollador o dueño de un sitio web de tomar el control de los vinculos que nuestro navegador visita, botón, o cualquier elemento de la página sin que ni siquiera uno vea que está sucediendo. Esto lo hacen utilizando un Frame o iFrame con opacidad nula por encima del contenido original de la pagina de manera que el usuario, al tratar de dar clic sobre los elementos de la pagina original, realmente interactúe con los elementos ocultos de este iFrame sin darse cuenta. Este iFrame, a su vez, puede en realidad ser parte de un dominio totalmente diferente al de la pagina original que cubre y tendría la capacidad de hacer requests via Ajax a repositorios de datos de dichos dominios.

Dicho de otra forma, imaginemos un cristal (opacidad 0) con algo debajo, intentamos tocar con el dedo lo que hay debajo, pero tocamos el cristal, esto es lo mismo que sucede cuando ponemos un iFrame con opacidad 0 (invisible) encima de ciertos elementos de nuestra web: el usuario irá a hacer clic en nuestros elementos, pero hará clic dentro del iFrame.

"Imagen que ejemplifica las dos capas invisibles que puede tener un sitio web: la capa que vemos y la capa con la que realmente interactuamos"

Ahora imaginemos que cargamos en el iFrame una página de noticias, como meneame, fresqui, o digg, lo volvemos transparente, y debajo metemos un botón que diga: haz clic aquí, posicionándolo justo exactamente debajo de donde aparece el botón para votar a la noticia, dentro de la página de noticias. Cuando el usuario haga clic en nuestro botón, que está debajo del iFrame transparente, justo donde está el botón para votar de la web de noticias que hay cargada dentro del iFrame, hará clic en el botón votar de la pagina que hay dentro del iFrame.

Que puedo hacer para protegerme?

Como habíamos mencionado, no es tan fácil como agregar un parche o actualizar a nuestra ultima versión de nuestro navegador. Lo primero seria evitar las visitas a sitios de poca fiabilidad (ustedes saben a cuales me refiero) y si no estamos seguros de adonde nos llevara un link o un botón, dar clic derecho sobre este y revisar sus propiedades.

• Opera: Vayanse a la pagina opera:config y deshabiliten la opción iFrames.

"Captura de pantalla de Opera, mostrando la pagina de configuracion donde se deshabilitan los iFrames"

• Firefox: Instalar el plugin (complemento, add-on o como le quieran llamar) llamado NoScript el cual, al igual que el plugin FlashBlock que te bloquea los elementos Flash de una pagina, este te permite bloquear una gran cantidad de tipos de contenido de una pagina, entre estos, los scripts, animaciones flash, aplicaciones Java y por supuesto, iFrames.

"Captura de pantalla de Firefox, mostrando en su barra de estado la informacion de bloqueos de NoScript y en una ventana emergente, la configuracion del NoScript y donde se deshabilitan los iFrames"

• Internet Explorer Safari y Chrome: Resignense a estar vulnerables, esperen a que los fabricantes encuentren una solución o cambien de navegador.

addon chrome clickjacking complementos computadoras firefox iframe internet java navegador network Opera safari seguridad

No hay internet? usa Gears!

Continuando con la saga de posts para los adictos al Internet, especialmente cuando no sabemos que hacer cuando este nos falla, ahora Google nos brinda una nueva alternativa para no perdernos de sus servicios cuando sucedan estos casos tan trágicos como la falta de Internet.

"Logotipo de Google Gears"

Esta alternativa se llama Google Gears, una tecnología que almacena la información on-line de los servicios que lo implementan en una base de datos en la computadora del usuario, de forma que sea posible seguir usando estos servicios aunque no estemos conectados a Internet.

Para usar Gears, basta con ir a la página principal de este servicio, el cual te instalara el Add-on de Firefox (así es, funciona nada mas con el mejor navegador del mercado: Firefox) que permitirá revisar dichos documentos sin la necesidad de una conexión a Internet.

Una vez instalado, nada más visiten los sitios que permiten el uso de Gears para que guarden su información on-line de forma local en su computadora. Por ejemplo, en Google Docs les aparecerá junto a su dirección de correo electrónico un vínculo con la palabra "Offline" (Deben configurarlo para el lenguaje Ingles, por cierto):

"Mensaje que indica que ahora podemos configurar Google Docs para trabajar sin conexión (Clic para agrandar)."

Al hacer clic en este vinculo, aparece un mensaje de confirmación para configurar el acceso sin conexión a Google Documents. Al confirmar nuestra decisión, aparecerá otro cuadro de diálogo por parte de Gears, preguntándonos si queremos darle acceso a Google Documents de usar su API. Al confirmar también este cuadro, automáticamente empieza a sincronizar la base de datos local con la información on-line, en este caso, a copiar los documentos que tenemos en nuestra cuenta de Google Documents a una base de datos alojada en nuestra computadora:

"Google Gears, sincronizando los documentos on-line con nuestra base de datos local (Clic para agrandar)."

Al terminar la sincronización, ya esta todo preparado para poder trabajar sin conexión. Simplemente llamen a su ISP y díganles que no quieren mas el servicio de Internet, consigan unas tijeras y corten el cable UTP, quiebren su tarjeta de red o si no quieren ser tan drásticos, nada mas hagan clic en la opción "Work Offline" ("Trabajar sin Conexión" en español) del menú archivo de Firefox para que puedan comprobar que la pagina les seguirá cargando, permitiéndoles visualizar y editar sus documentos de Google Documents.

Entre los servicios que actualmente soportan Gears están:

• Google Reader: Lector on-line de Feeds RSS/Atom que te mantiene actualizado de la ultima información publicada en las revistas/blogs de tu interés. Link.
  

• Google Docs: Como ya lo vimos en el ejemplo, es toda una suite de oficina on-line que permite crear/subir/editar/publicar documentos de texto, hojas de cálculo, presentaciones y documentos PDF. Soporta los formatos comunes de MS Office y OpenOffice. Link.
  

• Remember The Milk: Servicio del web que nos permite almacenar recordatorios de cosas que tenemos que hacer (por eso su nombre: acuérdate de la leche!). Ademas, esta enriquecido con la capacidad de ubicar el lugar donde se realizara la tarea mediante mapas de Google Maps y establecer la fecha/hora/duración de la actividad, sincronizable vía CalDaV. Link.
  

• Zoho: La competencia de Google en cuanto a suite de oficina on-line. Entre otras cosas también permite el uso de su servicio de chat, cuentas de correo, wikis, gestores de proyectos, etc. Link.
  

addon base datos complementos computadoras firefox fun google herramienta interesante internet network offline recomendado software tecnologia tips web 2.0

No hay internet? usa Gears!

Continuando con la saga de posts para los adictos al Internet, especialmente cuando no sabemos que hacer cuando este nos falla, ahora Google nos brinda una nueva alternativa para no perdernos de sus servicios cuando sucedan estos casos tan trágicos como la falta de Internet.

"Logotipo de Google Gears"

Esta alternativa se llama Google Gears, una tecnología que almacena la información on-line de los servicios que lo implementan en una base de datos en la computadora del usuario, de forma que sea posible seguir usando estos servicios aunque no estemos conectados a Internet.

Para usar Gears, basta con ir a la página principal de este servicio, el cual te instalara el Add-on de Firefox (así es, funciona nada mas con el mejor navegador del mercado: Firefox) que permitirá revisar dichos documentos sin la necesidad de una conexión a Internet.

Una vez instalado, nada más visiten los sitios que permiten el uso de Gears para que guarden su información on-line de forma local en su computadora. Por ejemplo, en Google Docs les aparecerá junto a su dirección de correo electrónico un vínculo con la palabra "Offline" (Deben configurarlo para el lenguaje Ingles, por cierto):

"Mensaje que indica que ahora podemos configurar Google Docs para trabajar sin conexión (Clic para agrandar)."

Al hacer clic en este vinculo, aparece un mensaje de confirmación para configurar el acceso sin conexión a Google Documents. Al confirmar nuestra decisión, aparecerá otro cuadro de diálogo por parte de Gears, preguntándonos si queremos darle acceso a Google Documents de usar su API. Al confirmar también este cuadro, automáticamente empieza a sincronizar la base de datos local con la información on-line, en este caso, a copiar los documentos que tenemos en nuestra cuenta de Google Documents a una base de datos alojada en nuestra computadora:

"Google Gears, sincronizando los documentos on-line con nuestra base de datos local (Clic para agrandar)."

Al terminar la sincronización, ya esta todo preparado para poder trabajar sin conexión. Simplemente llamen a su ISP y díganles que no quieren mas el servicio de Internet, consigan unas tijeras y corten el cable UTP, quiebren su tarjeta de red o si no quieren ser tan drásticos, nada mas hagan clic en la opción "Work Offline" ("Trabajar sin Conexión" en español) del menú archivo de Firefox para que puedan comprobar que la pagina les seguirá cargando, permitiéndoles visualizar y editar sus documentos de Google Documents.

Entre los servicios que actualmente soportan Gears están:

• Google Reader: Lector on-line de Feeds RSS/Atom que te mantiene actualizado de la ultima información publicada en las revistas/blogs de tu interés. Link.
  

• Google Docs: Como ya lo vimos en el ejemplo, es toda una suite de oficina on-line que permite crear/subir/editar/publicar documentos de texto, hojas de cálculo, presentaciones y documentos PDF. Soporta los formatos comunes de MS Office y OpenOffice. Link.
  

• Remember The Milk: Servicio del web que nos permite almacenar recordatorios de cosas que tenemos que hacer (por eso su nombre: acuérdate de la leche!). Ademas, esta enriquecido con la capacidad de ubicar el lugar donde se realizara la tarea mediante mapas de Google Maps y establecer la fecha/hora/duración de la actividad, sincronizable vía CalDaV. Link.
  

• Zoho: La competencia de Google en cuanto a suite de oficina on-line. Entre otras cosas también permite el uso de su servicio de chat, cuentas de correo, wikis, gestores de proyectos, etc. Link.
  

addon base datos complementos computadoras firefox fun google herramienta interesante internet network offline recomendado software tecnologia tips web 2.0

Medios Sociales, Sitios Web a lo 2.0

Aportando mas a los temas anteriores de las redes sociales y el web 2.0, podemos hablar un poco de lo que se considera como Medios Sociales, los cuales son las herramientas del web 2.0 que le permiten al usuario interactuar con un sitio web y los medios (hipertexto, imágenes, musica, vídeos) que este provee.

Esta es la principal diferencia de los Medios Tradicionales como periódicos, estaciones de radio y televisión, los cuales transmiten la información de una forma unilateral

Entre las características de los sitios web considerados como medios sociales o de contenido social se encuentran:

• Capacidad de personalización: Los usuarios deben ser capaces de ingresar al sitio, crear una cuenta para identificarse y personalizarlo en base a sus gustos o sus necesidades. Ejemplo de ello fue el sitio de shutdownday el cual contaba con una serie de widgets ordenables en los espacios disponibles así como la posibilidad de agregar mas widgets, también twitter que permite cambiar la combinación de colores del sitio.

• Sugerencias (feedback): El sitio web debe permitirle a los usuarios la capacidad de dejar sus sugerencias y opiniones acerca del sitio para sus respectivas mejoras. Como por ejemplo Google, que hace un par de meses mostró un vinculo en el sitio de Google Documents el cual nos permitía, mediante una no tan corta encuesta, dejar nuestras opiniones acerca del servicio y brindar sugerencias de mejoras.

• Participacion: Hoy en día, los sitios web no solamente se encargan de mostrar información, ahora el usuario puede manipular esta información teniendo su propio espacio personal dentro del sitio para editar y agregar nuevo contenido. El ejemplo mas claro es la wikipedia.

• Dinamismo: Gracias a la participación de los usuarios, un sitio web con contenido social no tendrá la misma apariencia ni contenido siempre, este cambiara en tanto que los usuarios dejen su huella dentro del sitio modificándolo y agregando nuevo contenido. Por ejemplo, en Deviantart te puedes dar cuenta que agregan una nueva "desviación" aproximadamente cada segundo, por lo que no veras el mismo contenido cada vez que refresques la pagina del sitio.

• Interacción social: Por algo le han llamado social a todo esto, y es porque estos sitios enlazan a personas de todas partes del mundo, de manera que ellos puedan compartir sus ideas (por resumir todo lo que se puede compartir en la web) entre ellos. Hay tantos ejemplos de ello, cual mencionar? que tal myspace, facebook o hi5?
  

No hay duda que los sitios al estilo web 2.0 con contenido social (o medios sociales, como lo quieran llamar) aumentan su productividad y popularidad. Una mejor manera de explicarlo es a través de un vídeo demostrativo (hecho con dibujos a lápiz en piezas de papel!), elaborado por commoncraft:

"Commoncraft: Social Media in Plain English"

Algo mas que deseen aportar sobre el tema?

Medios Sociales, Sitios Web a lo 2.0

Aportando mas a los temas anteriores de las redes sociales y el web 2.0, podemos hablar un poco de lo que se considera como Medios Sociales, los cuales son las herramientas del web 2.0 que le permiten al usuario interactuar con un sitio web y los medios (hipertexto, imágenes, musica, vídeos) que este provee.

Esta es la principal diferencia de los Medios Tradicionales como periódicos, estaciones de radio y televisión, los cuales transmiten la información de una forma unilateral

Entre las características de los sitios web considerados como medios sociales o de contenido social se encuentran:

• Capacidad de personalización: Los usuarios deben ser capaces de ingresar al sitio, crear una cuenta para identificarse y personalizarlo en base a sus gustos o sus necesidades. Ejemplo de ello fue el sitio de shutdownday el cual contaba con una serie de widgets ordenables en los espacios disponibles así como la posibilidad de agregar mas widgets, también twitter que permite cambiar la combinación de colores del sitio.

• Sugerencias (feedback): El sitio web debe permitirle a los usuarios la capacidad de dejar sus sugerencias y opiniones acerca del sitio para sus respectivas mejoras. Como por ejemplo Google, que hace un par de meses mostró un vinculo en el sitio de Google Documents el cual nos permitía, mediante una no tan corta encuesta, dejar nuestras opiniones acerca del servicio y brindar sugerencias de mejoras.

• Participacion: Hoy en día, los sitios web no solamente se encargan de mostrar información, ahora el usuario puede manipular esta información teniendo su propio espacio personal dentro del sitio para editar y agregar nuevo contenido. El ejemplo mas claro es la wikipedia.

• Dinamismo: Gracias a la participación de los usuarios, un sitio web con contenido social no tendrá la misma apariencia ni contenido siempre, este cambiara en tanto que los usuarios dejen su huella dentro del sitio modificándolo y agregando nuevo contenido. Por ejemplo, en Deviantart te puedes dar cuenta que agregan una nueva "desviación" aproximadamente cada segundo, por lo que no veras el mismo contenido cada vez que refresques la pagina del sitio.

• Interacción social: Por algo le han llamado social a todo esto, y es porque estos sitios enlazan a personas de todas partes del mundo, de manera que ellos puedan compartir sus ideas (por resumir todo lo que se puede compartir en la web) entre ellos. Hay tantos ejemplos de ello, cual mencionar? que tal myspace, facebook o hi5?
  

No hay duda que los sitios al estilo web 2.0 con contenido social (o medios sociales, como lo quieran llamar) aumentan su productividad y popularidad. Una mejor manera de explicarlo es a través de un vídeo demostrativo (hecho con dibujos a lápiz en piezas de papel!), elaborado por commoncraft:

"Commoncraft: Social Media in Plain English"

Algo mas que deseen aportar sobre el tema?

El video que resume las redes sociales

Sumergido en mi lectura diaria de Feeds, me encontre con este video que se encarga de sumarizar el problema con las redes sociales (hi5, orkut, myspace, etc... ya hablare de ellos mas tarde), espero que les guste:

"Video: Parodia sobre sitios de redes sociales"

¡Hasta la proxima!

video hi5 orkut myspace
social
redes network facebook divertido gracioso

El video que resume las redes sociales

Sumergido en mi lectura diaria de Feeds, me encontre con este video que se encarga de sumarizar el problema con las redes sociales (hi5, orkut, myspace, etc... ya hablare de ellos mas tarde), espero que les guste:

"Video: Parodia sobre sitios de redes sociales"

¡Hasta la proxima!

video hi5 orkut myspace
social
redes network facebook divertido gracioso