PDA

Ver la versión completa : Para los amantes del Opera...



revolloso
09-02-2003, 00:33
Como sabrán, ha salido la versión 7 de este fantástico navegador, leanse este articulo, es sobre las vulnerabilidades que tiene el navegador....

http://www.entrebits.com/noticias/navegacion/articulos/305679.html

Cinchro
09-02-2003, 05:04
9 de febrero de 2003

MSN: prohibida la entrada con Opera
La empresa Opera acusa a Microsoft de boicotearla
La compañía Opera, responsable del conocido navegador que ya va por la versión 7, acusó a MSN, el portal de portal de Microsoft, de enviar a sus usuarios una versión defectuosa de su página con el interés de que se viera mal en el browser Opera.

El jefe de tecnología de Opera, Hakon Lie, afirma en un comunicado oficial de la compañía que el navegador recibe una página con un “style sheet que es muy diferente al usado por los browsers de Netscape y Microsoft”. El resultado era que las columnas de texto se veían de manera defectuosa, y parte del texto no podía leerse.

La página que MSN enviaba a los usuarios de Opera se veía mal incluso cuando era grabada y luego abierta en Internet Explorer 6. De esta manera, Opera acusa a Microsoft de intentar perjudicarlo, al buscar que sus páginas se visualizaran de manera incorrecta.

Los denunciantes incluso hicieron una prueba más. Identificaron a Opera de manera falsa como “Ophrah”, un programa que obviamente no existe. El tema era probar que MSN enviaba la páginas defectuosa cuando leía “Opera” en la línea de identificación del browser. El resultado: cuando ingresaron a MSN como “Ophrah”, la página se vio perfectamente en Opera.

Conocida la noticia, los voceros de MSN defendieron su práctica de enviar páginas diferentes a cada uno de los navegadores. “Es algo que hacemos para tratar de optimizar la experiencia de nuestros usuarios”, declaró Bob Visse, director de marketing de MSN al portal de tecnología News.com. El ejecutivo también reconoció que revisarán el problema.

La nueva batalla entre Microsoft y Opera llega un año después de que MSN bloqueara el acceso con otro navegador que no fuera Internet Explorer. La decisión de la compañía causó un verdadero escándalo, en el cual otras firmas acusaron a Microsoft de intentar monopolizar el acceso a MSN. Pocos días después, el portal de la compañía de Redmond eliminó la restricción.

Este nuevo round en la guerra de los browsers vuelve a poner en primera línea el problema de los estándares de desarrollo de páginas Web. Si bien Opera cumple con ellos, Internet Explorer no lo hace. Pero en tanto la enorme mayoría de las páginas está optimizada únicamente para IE, muchas veces se ven mal en Opera o Mozilla.

CrAcKzMe
09-02-2003, 11:58
Joder que cabrones que son los de m$ xD. Opera 7.0 ya ha salido con algunas vunlerabilidades:

* Vulnerabilidad en el modelo de seguridad de Opera

Para evitar que mediante JavaScript una página pueda acceder a la
información de otro dominio, Opera implementa un modelo de seguridad que
debería impedir estos traspases de información.

No obstante, se han descubierto diversas vulnerabilidades en este modelo
de seguridad: se puede acceder y ejecutar a funciones JavaScript de
diferentes dominios; las funciones JavaScript se ejecutan con las
credenciales del dominio del usuario y no las correspondientes al
dominio de origen; es posible ignorar las propiedades y métodos (tanto
nativos como definidos por el usuario) en otras ventanas.

La utilización de estas vulnerabilidades puede permitir, desde una
página especialmente formateada, acceder en modalidad de lectura a
cualquier archivo existe en la máquina del usuario.

* El fantasma de la Ópera

La consola de JavaScript de Opera utiliza tres archivos que se
encuentran en el directorio raíz del programa. La función de la consola
es mostrar las excepciones no controladas que se producen en cada
sesión.

La consola incluye el código necesario para visualizar las URL como
enlaces activos. No obstante, debido a la insuficiencia de los controles
aplicados, un atacante puede inyectar sus propios atributos de código al
enlace. Con un poco de manipulación, el atacante puede aprovechar esta
vulnerabilidad para forzar la ejecución de código script arbitrario.

* Tratamiento de imágenes en Opera

Opera 7.0 no realiza ninguna comprobación en una URL que apunta al disco
del usuario (file://) para la visualización de un gráfico. Como
consecuencia de esta ausencia de controles, un atacante puede inyectar
código en la URL que le permite acceder al contenido de cualquier
archivo residente en la máquina del usuario.

* Acceso a la URL anterior y siguiente

Opera 7.0 no protege el acceso desde JavaScript al histórico de URL
visitadas por el usuario. Así un atacante puede obtener la última URL
visitada por el usuario, así como la siguiente (las URL a las que se
accede, respectivamente, con el botón "Atrás" y "Adelante" del
navegador).

* Obtención de las URL que ha visitado el usuario

Como en el caso anterior, Opera 7.0 no impide que una función JavaScript
obtenga la relación de todas las URL visitadas por el usuario en una
sesión que provoquen algún tipo de excepción. Como la configuración por
defecto de Opera 7.0 es la de identificarse como Internet Explorer,
muchas páginas web provocan errores. Aprovechando esto y la
vulnerabilidad, el atacante puede identificar fácilmente las URL que ha
visitado el usuario.

Opera ha publicado recientemente la versión 7.01 para Windows que
soluciona todas estas vulnerabilidades.

Fuente: hispasec