Portada
mis comunidades
otras secciones
#1:
Oleada de virus en 3… 2… 1…
#62:
Yo no entiendo como seguid enviando noticias de alt1040.com, cuando son unos cutres comprobados. Comenzamos diciendo que el titular es amarillista y lleva a conclusiones erróneas, como los primeros comentarios en esta noticia. No culpo a #1 #3 y #5 por no entender la noticia, culpo a alt1040 por mediocres.
Hotmail está proporcionando un framework que ellos llaman Active Views que permite ejecutar comandos tipo JavaScript en un ambiente seguro y aislado que no permitirá ninguna de las funciones malignas que puede hacer JavaScript solamente. Así que la noticia principal es que Hotmail proporcionará este Active Views para hacer el correo más interactivo, que es mucho más que SOLO PERMITIR COMANDOS JAVASCRIPT.
De nuevo la meneo erronea, por sacar artículos como churros y no esmerarse en explicarle a su público correctamente las noticias de tecnología.
Os copio un extracto de la noticia original muy importante que obvia el mediocre artículo de alt1040
There has simply been no way to run JavaScript code within email messages in such a way that it’s isolated and not allowed to do malicious things on your computer. Hotmail is solving this problem with its new Active Views platform, technology that allows senders to run code securely in their email messages. It protects you AND gives you access to information on the sender’s website through forms and inline actions built directly into the email itself. This keeps the content up to date and provides a more engaging and time-saving experience.
Hotmail está proporcionando un framework que ellos llaman Active Views que permite ejecutar comandos tipo JavaScript en un ambiente seguro y aislado que no permitirá ninguna de las funciones malignas que puede hacer JavaScript solamente. Así que la noticia principal es que Hotmail proporcionará este Active Views para hacer el correo más interactivo, que es mucho más que SOLO PERMITIR COMANDOS JAVASCRIPT.
De nuevo la meneo erronea, por sacar artículos como churros y no esmerarse en explicarle a su público correctamente las noticias de tecnología.
Os copio un extracto de la noticia original muy importante que obvia el mediocre artículo de alt1040
There has simply been no way to run JavaScript code within email messages in such a way that it’s isolated and not allowed to do malicious things on your computer. Hotmail is solving this problem with its new Active Views platform, technology that allows senders to run code securely in their email messages. It protects you AND gives you access to information on the sender’s website through forms and inline actions built directly into the email itself. This keeps the content up to date and provides a more engaging and time-saving experience.
#5:
#3 una cosa es que la página tenga javascript para pijadas propias y otra cosa que la página permita ejecutar javascript que escribes tú... siento hacerte esa terrible revelación. Uno de los bugs más grandes que ha tenido siempre el outlook ha sido precisamente la posibilidad de ejecutar javascript...
#14:
Recordatorios:
(1)- Javascript permite abrir ventanas con un mensaje, ventanas que el usuario debe cerrar pulsando en algún sitio.
(2)- Javascript permite crear bucles como todos los lenguajes de programación. Por tanto, junto a (1) podría crear un bucle que abra 500 ventanitas (o cualquier otro número), que el usuario deba cerrar una a una.
(3)- Programas como Outlook Express ejecutan el javascript de los mensajes sólo con tener la vista previa del mensaje activada, lo que unido a (1) y (2) ... diversión asegurada.
(1)- Javascript permite abrir ventanas con un mensaje, ventanas que el usuario debe cerrar pulsando en algún sitio.
(2)- Javascript permite crear bucles como todos los lenguajes de programación. Por tanto, junto a (1) podría crear un bucle que abra 500 ventanitas (o cualquier otro número), que el usuario deba cerrar una a una.
(3)- Programas como Outlook Express ejecutan el javascript de los mensajes sólo con tener la vista previa del mensaje activada, lo que unido a (1) y (2) ... diversión asegurada.
#11:
nada como pedir en un popup el email y contraseña, que seguro que mas de uno pica
#13:
#3 En mi caso:
1) Lo sé, por eso uso NoScript.
2) ActiveX: #MeLaSudaUsoLinux (y aunque usara Windows jamás se me ocurriría tocar IE).
3) Flash: Lo mismo, NoScript. Además, tengo instalado Gnash.
4) Otros plugins: tres cuartos de lo mismo.
En el resto de casos:
1) Por eso la gente tiene que ir con cuidado con dónde se mete. Ahora, Hotmail queda fuera de la "lista segura".
2) Es un riesgo más.
1) Lo sé, por eso uso NoScript.
2) ActiveX: #MeLaSudaUsoLinux (y aunque usara Windows jamás se me ocurriría tocar IE).
3) Flash: Lo mismo, NoScript. Además, tengo instalado Gnash.
4) Otros plugins: tres cuartos de lo mismo.
En el resto de casos:
1) Por eso la gente tiene que ir con cuidado con dónde se mete. Ahora, Hotmail queda fuera de la "lista segura".
2) Es un riesgo más.
#86:
#85 no pretendo darte envidia, es solo que tenía la posibilidad de usar mac aunque tú decías que no y aún así prefiero usar linux. En la última semana he revisado el código del gnome-forecast, proyecto en el que colaboro... por cierto, cada vez que tumbe una gilipollez que digas me vas a venir con otra?
Según tú ninguna empresa grande tenía muchos menos fallos que m$, yo usaba linux porque no podía usar mac, mofandote incluso de que pudiese ser pobre, decir que es mentira que en la comunidad linux se revisan los proyectos...
Según tú ninguna empresa grande tenía muchos menos fallos que m$, yo usaba linux porque no podía usar mac, mofandote incluso de que pudiese ser pobre, decir que es mentira que en la comunidad linux se revisan los proyectos...
#34:
#27 Para hacer XSS normalmente se hace inyectando Javascript en algún lugar que no esté debidamente controlado por la web, si ahora Hotmail me deja escribir Javascript directamente en su web, dentro de un correo, ya no tengo que encontrar algún campo que no esté controlado porque puedo poner el Javascript que me de la gana simplemente enviándolo en un correo, y hacer que se me envíen las cookies de Hotmail a mi servidor por decir algo. Que sí que este ejemplo es chorra y seguramente estará controlado, pero basta que se les pase algo que permita acceder al contexto de Hotmail desde los correos para que en pocos minutos millones de usuarios abran un correo que comprometa sus cuentas con un ataque XSS.
#39:
Un momento un momento....
¿Quiere decir que podré enviar un correo que contenga algo parecido a esto?
javascript:while(1);
Madre mia que peligro!
¿Quiere decir que podré enviar un correo que contenga algo parecido a esto?
javascript:while(1);
Madre mia que peligro!
editado:
Por si alguien no lo entiende... hace un bucle infinito que muestra una alerta. Aunque se puede hacer para que se abran miles de ventanas.
#23:
#15 Perdona, pero dejar ejecutar Javascript en el correo es un soberana estupidez, ya es suficiente con lo que hacen las páginas web como para que ahora encima el usuario normal se tenga que preocupar de lo del correo. Y eso te lo diría exactamente igual si lo hiciera Google, pero mira tu por donde resulta que lo ha hecho Microsoft, y sino fíjate en los problemas de seguridad que tienen programas como Acrobat por dejar ejecutar Javascript empotrado en los documentos.
Y sí, ya ha habido problemas de seguridad que usaban Javascript como vector de ataque, por ejemplo para explotar vulnerabilidades en el navegador, hace unos añitos corrían por ahí unos cuantos que se colaban como querían a través de IE usando Javascript para explotar fallos de ActiveX.
A eso suma cosas como el XSS y ya verás tu que gracia le va a hacer a la gente como comiencen a rular exploits por Hotmail. Lo mires por donde lo mires es una mala idea en cuanto a seguridad, y me da igual que sea Microsoft o cualquier otro, afortunadamente uso Firefox y No Script, así que me da igual, bueno, eso y que no entro en Hotmail claro.
Y sí, ya ha habido problemas de seguridad que usaban Javascript como vector de ataque, por ejemplo para explotar vulnerabilidades en el navegador, hace unos añitos corrían por ahí unos cuantos que se colaban como querían a través de IE usando Javascript para explotar fallos de ActiveX.
A eso suma cosas como el XSS y ya verás tu que gracia le va a hacer a la gente como comiencen a rular exploits por Hotmail. Lo mires por donde lo mires es una mala idea en cuanto a seguridad, y me da igual que sea Microsoft o cualquier otro, afortunadamente uso Firefox y No Script, así que me da igual, bueno, eso y que no entro en Hotmail claro.
#68:
#67 Fíjate en los comentarios de esta noticia y los que están aquí en Menéame son todos erróneos, no por culpa de los usuarios, sino del autor del artículo que obviamente no sabe lo que está escribiendo. Hotmail NO va a permitir ejecutar código JavaScript, Hotmail va a permitir enviar correos desarrollados bajo su framework Active Views. ¿Ves la diferencias? ¿Entiendes porque me parece erronea? Veo que tú enviaste la noticia, no te crítico a ti, como ya dije, critico la mediocridad de ALT1040, no es el primer artículo que leo de ellos ni tampoco el primero que sé que es amarillista/erroneo.
#16:
#9 No hables con tanta confianza de lo que dices, no es necesario ser un experto para hacerle daño a alguien con Javascript, de hecho no es necesario hacer virus con este lenguaje (Que es posible hacerlos). Si un correo que te envío tiene un evento Load usado, para que te muestre Alerts Infinitos, o use el Frame Padre para cambiarte el Location del sitio en que estás y redirigirte a un sitio web Porno, o hacer un llamado Ajax a un Script PHP que sea más "Grueso", quedarás K.O y ninguna de esas son Virus, son sólo Scriptcitos, que no aseguro que se puedan hacer en Hotmail, pero son teorías.
Saludos!
Saludos!
Comentarios
Oleada de virus en 3… 2… 1…
#1 y #2 Os hago la terrible revelación de que cualquier página web que visitéis puede contener javascript.
Y no, por ejecutar javascript no entran virus. Otra cosa son los controles ActiveX, plugins de flash y demas pesca.
#3 una cosa es que la página tenga javascript para pijadas propias y otra cosa que la página permita ejecutar javascript que escribes tú... siento hacerte esa terrible revelación. Uno de los bugs más grandes que ha tenido siempre el outlook ha sido precisamente la posibilidad de ejecutar javascript...
#5 Javascript no tiene acceso al sistema de archivos de un ordenador. Encuentrame un virus de javascipt (si puedes) antes de ponerte a escribir burradas.
#9 No hables con tanta confianza de lo que dices, no es necesario ser un experto para hacerle daño a alguien con Javascript, de hecho no es necesario hacer virus con este lenguaje (Que es posible hacerlos). Si un correo que te envío tiene un evento Load usado, para que te muestre Alerts Infinitos, o use el Frame Padre para cambiarte el Location del sitio en que estás y redirigirte a un sitio web Porno, o hacer un llamado Ajax a un Script PHP que sea más "Grueso", quedarás K.O y ninguna de esas son Virus, son sólo Scriptcitos, que no aseguro que se puedan hacer en Hotmail, pero son teorías.
Saludos!
#16 Te lo pongo otra vez porque parece que no termina de entrar en algunas molleras. Eso también te puede ocurrir si entras en cualquier página web.
#18 Cosa que no dudo,
#18 La diferencia está en que una web cualquiera (agarrenselosmachos.com por ejemplo), si tiene scripts maliciosos con sólo no entrar (y actualmente chrome y otros navegadores avisan de que esa web no es fiable), y sin embargo un correo electrónico se supone que debería ser fiable.
A diferencia de una web maliciosa (paga dominio, paga alojamiento, haz que la gente entre en tu web, paga publicidad, etcétera), un correo malicioso... pues escribes el correo, con el script que quieras, lo envías, y listo. Si ya pica gente con el fotos.exe de MSN, los que pueden picar con esto son ya legión.
#10 recientemente salió una extensión para firefox que robaba las credenciales de redes sociales y te logueaba con esas nuevas credenciales con un simple click, todo ello gracias a javascript, imagina lo que puede hacerse enviando algo similar vía email.
#14 porque crear 500 cuando puedes hacer un bucle infinito?
#16 exacto, supongo que no puede ser muy dificil usando javascript copiar la pagina y redirigir a una copia en servidores externos para robar los datos.
y sobre todo, como ya han dicho por ahí, algo tan sencillo como un alert diciendo algo como: " se ha perdido la conexión con el servidor, por favor, vuelva a entrar en el sistema" con su correspondiente formulario para "entrar" de nuevo y ale, a ver cuantos pican
#22 No dudo que sean muchos los ingenuos, yo en lo personal, conozco mucha gente que caería redondita,
#22 Si hablamos de extensiones de firefox ya estamos hablando de otra cosa. Con esa afirmación lo único que me afirmas es que Firefox es inseguro si te pones a instalarle extensiones dudosas, pero no tiene nada que ver con la seguridad de javascript. Lo otro que dices se llama phising, y te puede pasar en Gmail, Yahoo y en cualquier otro correo que uses.
#26 hablamos de permitir ejecutar código javascript, y de la potencia que tiene ese mismo código, cualquier sistema es inseguro si instalas algo no verificado y sin control, por eso el mayor agujero de seguridad son las personas.
Aún con eso, javascript proporciona las herramientas necesarias para el robo de credenciales y para favorecer ataques de phising, ataques que no podrían hacerse en otros servicios de webmail, ya que esos servicios no proporcionan soporte para javascript, que es justo a lo que queremos ir, a que microsoft acaba de abrir la caja de pandora, ha creado un agujero enorme en su servicio, y aunque controlaran muchas cosas, de aquí a un año habremos visto varios ataques diferentes gracias a esa ejecución de código.
#9 La mayoría que aquí comenta sabe que mediante javascript no se permite acceder al sistema de archivos.
Ahora bien, imaginemos a cualquiera de nuestros padres (por poner un ejemplo, vale cualquiera que no sepa realmente como funciona javascript), que ven los primeros mensajes "bonitos", "interactivos" y tal.
Pongamos que firefox o chrome te avisan de un script pesado (¿desea cerrar el navegador?, ¿detener el script?).
La próxima vez que aparezca un mensaje de activación de un ActiveX (creo recordar que, que al menos los que yo hacía se activaban por javascript), la persona, que no diferencia activex de javascript, va a aceptarlo.
Yo no creo que sea una muy buena idea, la verdad. Siquiera aunque los puedas diferenciar bien, como #8 comenta, puedes manegar las sesiones por javascript... algo que no lo veo como para estar tranquilo.
#9 Pues eso puede acabar cambiando, con la llegada de html5 cada vez se le da más funciones nuevas a javascript, y alguna de las cosas que están planteandose es acceso a la webcam y al sistema de archivos.
http://www.whatwg.org/specs/web-apps/current-work/complete/commands.html#devices
No creo además que esto traiga una gran ventaja ni sea un gran avance, porque como ya has dicho por ahí tienes lo mismo si haces click en un link que pongan en el correo. Pero hacer eso último es mucho más seguro, los exploradores pueden aplicar filtros de phising, los permisos que tenga la página ya no serán los mismos que los de la página de tu webmail y la gente con algo de cabeza por lo menos sabe que esa página es externa al sistema de correo.
Yo no entiendo como seguid enviando noticias de alt1040.com, cuando son unos cutres comprobados. Comenzamos diciendo que el titular es amarillista y lleva a conclusiones erróneas, como los primeros comentarios en esta noticia. No culpo a #1 #3 y #5 por no entender la noticia, culpo a alt1040 por mediocres.
Hotmail está proporcionando un framework que ellos llaman Active Views que permite ejecutar comandos tipo JavaScript en un ambiente seguro y aislado que no permitirá ninguna de las funciones malignas que puede hacer JavaScript solamente. Así que la noticia principal es que Hotmail proporcionará este Active Views para hacer el correo más interactivo, que es mucho más que SOLO PERMITIR COMANDOS JAVASCRIPT.
De nuevo la meneo erronea, por sacar artículos como churros y no esmerarse en explicarle a su público correctamente las noticias de tecnología.
Os copio un extracto de la noticia original muy importante que obvia el mediocre artículo de alt1040
There has simply been no way to run JavaScript code within email messages in such a way that it’s isolated and not allowed to do malicious things on your computer. Hotmail is solving this problem with its new Active Views platform, technology that allows senders to run code securely in their email messages. It protects you AND gives you access to information on the sender’s website through forms and inline actions built directly into the email itself. This keeps the content up to date and provides a more engaging and time-saving experience.
#62 Gracias por la precisión. De todas formas me sigue dando miedo, o han diseñado Active Views muy bien o estoy viendo un nuevo ActiveX... miedo...
En lo que supongo que estaremos de acuerdo todos es en que esto va a marcar una nueva era de horterismo en los correos electrónicos
#63 Una cosa es que sea hortera y otra es que se JavaScript que permite código maligno. Son muy diferentes. El artículo falla totalmente en explicar la nueva tecnología, lo critico es lo mediocre de alt1040, no si el nuevo Active Views será o no será útil.
#65 a ver, la noticia va de que hotmail permitirá el uso de javascript en los correos electrónicos, no de si este va a ser libre por cualquier usuario ni de como va a ejecutarse ese código, solamente de que se va a poder ejecutar código y van a llegar correos con código javascript a los usuarios.
tu problema es pensar que intentan explicar la tecnología y su funcionamiento, y eso no es así, simplemente hablan de un hecho que es la ejecución de código en los correos de hotmail, eres tu quien quiere darle a la noticia una visión que no tiene y quien se encuentra desengañado al ver que no se le da esa visión...
#66 selecciona más cuidadosamente a quien tienes en tus listas de contactos, porque sinceramente yo no recibo ese tipo de mails casi nunca, por qué? porque no tengo más que dos o tres contactos que envíen esos correos, y a alguno le he dado el toque de atención ya para que no me incluya en esos envíos chorras. Creeme, es más efectivo que cualquier otra medida
#67 Fíjate en los comentarios de esta noticia y los que están aquí en Menéame son todos erróneos, no por culpa de los usuarios, sino del autor del artículo que obviamente no sabe lo que está escribiendo. Hotmail NO va a permitir ejecutar código JavaScript, Hotmail va a permitir enviar correos desarrollados bajo su framework Active Views. ¿Ves la diferencias? ¿Entiendes porque me parece erronea? Veo que tú enviaste la noticia, no te crítico a ti, como ya dije, critico la mediocridad de ALT1040, no es el primer artículo que leo de ellos ni tampoco el primero que sé que es amarillista/erroneo.
#68 vale que podría haberse escrito un articulo más tecnico y que explicase mejor todo lo que sucede, pero no veo a los lectores de esa web como gente muy dada a leerse un articulo realmente tecnico como pueden ser los de webs como securitybydefault o compañía, si alguien aquí se ha llevado a engaño es en parte por su desconocimiento y por no usar la lógica, por ejemplo muchos hemos hecho coñas sobre bucles infinitos que muestran alerts, pero seguramente todos esos sabemos que no van a ser tan idiotas de permitir que se ejecute un bucle tan simple y molesto.
sobre active views, si, se a lo que te refieres, pero por mucho que pase por un filtro de microsoft, el resultado final es el uso de código javascript, un código capado posiblemente y que no sirva para nada más que para hacer el chorra con los correos, pero que si alguien con los conocimientos necesarios encuentra un bug, podrá ejecutar cualquier linea de código mediante ese bug, que es el verdadero problema.
son alt1040 mediocres? depende del nivel del lector, para alguien que tenga unos conocimientos más o menos minimos, pues podría decirse que si, para un publico general, les dan la información justa que necesitan, de ahí enviar esas noticias, para que lleguen a más lectores y no enviar la nota de microsoft por ejemplo.
#72 pienso firmemente que los comentarios sobre JavaScript malicioso que llenan esta noticia demuestran que el autor no supo escribir ni el titular ni el contenido. El 90% de los lectores se han ido con una idea equivocada. Se supone que el lector general de esta pagina tiene un mínimo de conocimientos sobre esta tecnología, el que parece no saber que escribe es el autor.
#5 #11 #14 #41 #42 Y todos los demás, leer a veces es bueno:
Siguiendo con lo que bien dice #62, hay que tener en cuenta varios factores:
1. Se ejecuta en una especie de sandbox para evitar fallos de seguridad.
2. No se ejecuta cualquier código porque lo filtran.
3. No acepta código de cualquiera, tan solo acepta código de aquellos autorizados por la propia Microsoft. Vamos que haciendo un simil con los programas, lo que vosotros decís es que se abre la veda de los virus porque todo el mundo va a instalar programas de fuentes no fiables (cracks etc). siendo que la realidad es que sería como instalar solo programas de fuentes fiables (adobe, microsoft, google, etc.)
4. Si no me equivoco, será una característica que se podrá desactivar.
Pero bueno, lo vuestro es leer hotmail y empezar a atacar. En fin, seguid.
#70 Que sí, pesado, tan solo el 46,35% de los mortales, frente al 17,85% de gmail: http://www.borjagutierrez.com/353/cuota-de-mercado-correo-usuarios-hotmail-gmail-yahoo
Aunque a mi también me parezca una basura.
#72 "la plataforma ActiveView solamente permite enviar correos con JavaScript a organizaciones confiables" http://www.genbeta.com/record/10
Decir que alguien con los conocimientos necesarios podrá ejecutar cualquier línea de código es algo así a decir que cualquiera de google, adobe, microsoft... con los conocimientos necesarios puede meter una puerta trasera en picassa, photoshop, windows...
#97 http://www.securitybydefault.com/2010/12/las-puertas-traseras-mas-escandalosas.html
leelo, despues me dices si importa o no el que haya una compañía confiable detras de los correos, porque yo creo que no importa, si al final quien va a meter el codigo ahí va a ser cualquier empleado de esas empresas u organizaciones, más les vale tener a ese empleado contento entonces.
pd: en cualquier aplicación de codigo cerrado, quien te dice que no hay un backdoor oculto? sin auditar un código es imposible saber lo que hay o no ah
#98 Ya, ya lo sé. y OpenBSD no es código cerrado, vaya por Dios...
Entonces ¿de qué preocuparme si seguramente mi windows tenga puertas traseras?. Y ¿tú usas linux?, bien, ¿te crees seguro?, te recuerdo que el tráfico pasa por una empresa privada, Oh, bueno, podrías conectarte a gmail mediante conexión segura: http://bitelia.com/2010/09/google-ha-despedido-otro-ingeniero-por-espiar-informacion-privada-de-los-usuarios-es-esto-suficiente http://mikengel.com/china-vs-google-los-atacantes-aprovecharon-una-puerta-trasera-en-gmail-pensada-para-el-gobierno-americano (oh, vaya); para evitarlo podrías cifrar con GPG los emails pero te recuerdo que no sólo es el tráfico de Internet sino también el telefónico, ¿te sientes seguro cuando hablas por teléfono? http://es.wikipedia.org/wiki/SITEL (la jodimos), esto sin hablar de empleados descontentos.
Y podría seguir pero ya te dejo con la moraleja: Sin duda, un empleado descontento es una forma de comprometer tu privacidad pero las medidas tomadas son aceptablemente buenas, ¿qué pueden fallar?, por supuesto pero hay mil formas de comprometer tu privacidad y vivir en una burbuja con miedo a todo no es vivir. ¿cuántas formas habrá que nosotros desconocemos?, empezando por el hardware donde da igual qué SO uses.
#97 ¿Las organizaciones confiables van a hacer dos clases de correos distintos, uno para los que usen hotmail y otro para el resto de los mortales? Será que Hotmail quiere cobrar por dar ventajas de correo exclusivas a los anunciantes confiables para llenarnos de publicidad más vistosa los correos y sobrecargar más la página.
A mi me sigue sin gustar, no veo que beneficio ofrece esto a simplemente ofrecer un link a la página de la organización. Nulo beneficio para tanto inconveniente.
#122
1. a) Alguien tenía que decírtelo. b) Tu comentario será irrelevante pero está dentro de un tema que me interesa así que alguien tenía que rebatir tu error/insinuación.
2. Ya había pillado la moraleja de los rayos, ¿has pillado tú la mía?. El problema es que Microsoft no sale a buscar nada, no se mete debajo de un árbol en medio de una tormenta, está tomando las debidas precauciones (#97) así que no hay por qué temer al rayo. Que sí, que puede caerte uno durmiendo en casa mas no por ello hay que temerle al rayo, dejar de dormir en tu cama o meterte en un bunker. ¿comprendes ahora por qué tu viñeta no sirve?.
Mi moraleja es que puedes estar jodido en donde menos te lo esperas así que toma precauciones pero vive la vida, no seas un paranoico.
Me alegra que fomentes el producto nacional.
#67 A partir de ahora tendré que elegir a mis amigos según su nivel de conocimientos informáticos
#3 me da igual, quien dice virus dice robos de cuentas. el script podrá acceder perfectamente a las cookies del dominio y por ende son proclives a poder robar sesiones
#8 Pues eso ya no es un virus. Y lo de las cookies tendría las mismas consideraciones de seguridad que cualquier otra página web que visites. (De hecho, el webmail no es más que otra página web)
#10 la página puede acceder a las cookies del dominio, es decir las que él mismo ha generado. ahora, cualquier correo web podría cogerlas y mandarlas donde quisiera. ¿de verdad no ves el posible agujero de seguridad que eso genera?
#13 Ya puestos, navega solo por páginas hechas por ti que estén dentro de tu disco duro. Así eliminas aun más riesgos.
#12 ¿Podría? ¿Es que ya has visto el código de servidor de hotmail? Lees "hotmail permitirá ejecutar javascript" y ya infieres que lo van a poner tal cual les llega. Lo de las cookies es una obviedad, y es el único inconveniente que tiene lo del javascript.
#14 Todas esas cosas también te pueden pasar si haces click en un link que veas en cualquier web.
PD. Esto lo hace Gmail, y todos aplaudiendo y poniendo por las nubes la nueva "feature". Pero bueno, quien sabe, igual lo terminan poniendo. Como parece que últimamente Google no hace otra cosa que copiar a Microsoft.
#15: Sí, pero en este caso no son enlaces, sino que basta con que se previsualice el mensaje para que pasen cosas.
#17 Pues explícame la diferencia entre hacer click en un link para ver una web y hacer click en otro link para previsualizar el mensaje
#15 Ya puestos, navega solo por páginas hechas por ti que estén dentro de tu disco duro. Así eliminas aun más riesgos
Eso es como cuando un fumador dice ah, pues no salgas a la calle que te pueden atropellar en respuesta a que el tabaco produce cáncer.
#21 El salir a la calle no tiene absolutamente nada que ver con fumar. No se que quieres llegar a decir, la verdad.
#24 A: Esto hará Hotmail peligroso.
B: Ah, pues ya puestos entra sólo en páginas dentro de tu disco duro.
A: El tabaco produce cáncer.
B: Ah, pues ya puestos no salgas a la calle, que te pueden atropellar.
A y B tienen lo mismo que ver en ambos casos.
#28 Insisto. Que tiene que ver el fumar con el salir a la calle. Porque Hotmail y ver páginas web tienen mucho que ver.
#28 #29 jajajajaja, que discusión tan absurda!
#29 A: Hacer X implica un riesgo.
B: Hacer Y (donde Y es algo cotidiano, prácticamente inevitable, necesario y que implica un riesgo ínfimo) también implica un riesgo.
¿Ahora?
#15 Perdona, pero dejar ejecutar Javascript en el correo es un soberana estupidez, ya es suficiente con lo que hacen las páginas web como para que ahora encima el usuario normal se tenga que preocupar de lo del correo. Y eso te lo diría exactamente igual si lo hiciera Google, pero mira tu por donde resulta que lo ha hecho Microsoft, y sino fíjate en los problemas de seguridad que tienen programas como Acrobat por dejar ejecutar Javascript empotrado en los documentos.
Y sí, ya ha habido problemas de seguridad que usaban Javascript como vector de ataque, por ejemplo para explotar vulnerabilidades en el navegador, hace unos añitos corrían por ahí unos cuantos que se colaban como querían a través de IE usando Javascript para explotar fallos de ActiveX.
A eso suma cosas como el XSS y ya verás tu que gracia le va a hacer a la gente como comiencen a rular exploits por Hotmail. Lo mires por donde lo mires es una mala idea en cuanto a seguridad, y me da igual que sea Microsoft o cualquier otro, afortunadamente uso Firefox y No Script, así que me da igual, bueno, eso y que no entro en Hotmail claro.
#23 Javascript no permite XSS. Prueba otra, anda.
#27 Para hacer XSS normalmente se hace inyectando Javascript en algún lugar que no esté debidamente controlado por la web, si ahora Hotmail me deja escribir Javascript directamente en su web, dentro de un correo, ya no tengo que encontrar algún campo que no esté controlado porque puedo poner el Javascript que me de la gana simplemente enviándolo en un correo, y hacer que se me envíen las cookies de Hotmail a mi servidor por decir algo. Que sí que este ejemplo es chorra y seguramente estará controlado, pero basta que se les pase algo que permita acceder al contexto de Hotmail desde los correos para que en pocos minutos millones de usuarios abran un correo que comprometa sus cuentas con un ataque XSS.
#10 Me parece que no controlas mucho de lo que hablas. Todas las webs en las que el usuario inserta datos necesitan hacer comprobaciones muy estrictas para evitar que éste inserte código, y más concretamente código Javascript. Esto no es necesario si la web no permite la interacción del usuario, porque el programador de la web no tiene por qué querer perjudicar a sus usuarios, y realmente no tiene muchas formas de hacerlo.
Sin embargo, no es lo mismo eso que que un usuario pueda insertar código y que se ejecute en el navegador de otro usuario. Con esto, por ejemplo, un usuario podría insertar código, realizar un ataque XSS al receptor del mensaje y robarle la cookie de sesión, permitiendo al atacante suplantarle de cara al servidor.
En resumen:
- Código Javascript insertado por los desarrolladores de webs: seguro
- Código Javascript insertado por usuarios: potencialmente peligroso. Creo que no conozco ninguna web (foros, sistemas de participación) que permita al usuario insertar Javascript. Es muy muy delicado. No sé cómo pensarán hacerlo, supongo que restringirán la ejecución de ciertas instrucciones, o algo así...
Puedes controlar mucho de virus y de informática, pero sobre seguridad en Internet, permíteme, no tienes ni idea.
#3 En mi caso:
1) Lo sé, por eso uso NoScript.
2) ActiveX: #MeLaSudaUsoLinux (y aunque usara Windows jamás se me ocurriría tocar IE).
3) Flash: Lo mismo, NoScript. Además, tengo instalado Gnash.
4) Otros plugins: tres cuartos de lo mismo.
En el resto de casos:
1) Por eso la gente tiene que ir con cuidado con dónde se mete. Ahora, Hotmail queda fuera de la "lista segura".
2) Es un riesgo más.
#13 Todo eso esta muy bien, yo también tomo mis precauciones. Pero aun así no puedo evitar que mis contactos me sigan enviando estupidas cadenas, powerpoints, o infectándose ellos mismos con virus y mandandome spam desde sus cuentas.
Así que creo que esto nos va a afectar a todos.
Yo creo que Microsoft debería contratar a #1 y #2 ya que a pesar de su contrastada ignorancia revelada en el comentario #3, hacen siempre el chiste fácil de que los ingenieros de Redmond no tienen ni puta idea. Habiendo esta valiosísima gente a patadas, ¿por qué Microsoft se empeña en contratar a incompetentes?
#51 Yo puedo decir que las letras de fito apestan y no necesito escribir letras mejores que él para decirlo... Que microsoft tiene un pasado lleno de bugs es algo objetivo, no sé, googlea un poco si no me crees...
#64 Vale, pero las letras de Fito las escucha mucha gente y generan beneficios millonarios y tú no le importas a nadie. En el caso de Microsoft, lo mismo, es una compañía de éxito que levanta las críticas de los envidiosos, como tú. Por favor, nombra 5 compañías que nunca hayan tenido bugs. Gracias, eso es todo.
#79 que genere beneficios lo justifica todo? qué estupidez es esa? hmmmm compara los fallos de seguridad de apple, sun, oracle, red hat... Con microsoft y luego me cuentas. Por cierto, envidia? claro, llevo 10 años usando linux no por la política y la mierda productos de microsoft sino porque soy un envidioso
...
#80 Si un producto informático lo utilizan millones de personas salen a la luz más bugs que si lo utilizan cuatro gatos. Por usar Linux no eres especial, ni un hacker, sólo un pobre friki que no tiene plata para comprar un Mac. Deja de llorar, los linuxeros llorones me dan pena.
#81
tengo un iMac de 27" con debian como sistema operativo, esto, Zas! en toda la boca, y claro que no soy un hacker, uso linux para empezar por filosofía y segundo por la tranquilidad que da usar soft libre además de la estabilidad. Además, linux tendrá menos fallos cuanta más gente lo use, serán más ojos los que revisen el código.
#84 Oh, por filosofía utilizas Linux pero tienes un iMac jajajaja. Vaya filosofía de mierda. ¿Tus ojos, qué códigos fuente han revisado en la última semana? Nadie lee eso, es uno de los mayores engaños que hay. Y si piensas que en Macintosh, que tienen un sistema operativo a la medida del hardware, que Linux es más estable es como si piensas que te estás limpiando el culo cuando en realidad un negro te está dando por el orto.
PD: Tengo un Macintosh SE, un powerbook, dos ibooks, un macbook pro, un mac book air, dos imac (uno lamp y otro de 24"), un iPad, un iPod Touch, un iPad y un TimeCapsule de 2TB. No me das ninguna envidia
#85 no pretendo darte envidia, es solo que tenía la posibilidad de usar mac aunque tú decías que no y aún así prefiero usar linux. En la última semana he revisado el código del gnome-forecast, proyecto en el que colaboro... por cierto, cada vez que tumbe una gilipollez que digas me vas a venir con otra?
Según tú ninguna empresa grande tenía muchos menos fallos que m$, yo usaba linux porque no podía usar mac, mofandote incluso de que pudiese ser pobre, decir que es mentira que en la comunidad linux se revisan los proyectos...
#86 don't feed the troll
#85 y yo la tengo de 30cm!!! ganale a eso!
#92 En el culo no cuenta.
#85 que tengas 200 productos de apple no quita que seas un triste que tenga que venir a meneame a intentar vacilar y aparentar.
#51 De acuerdo en lo de chiste fácil. Pero esto es todo problema del marketing: intentan quedar bien con los pro-javascript pero se les vienen encima los pro-seguridad. Con estos planteamientos no se puede nunca satisfacer a todos.
Soluciones salomónicas son las que valen.
#104 No sé cómo van a funcionar las organizaciones confiables, pero es probable. Lo que sí sé es que esto sólo estará activado para ellas, para que no ocurra lo que algunos se empeñan en decir: "cualquiera podrá enviar código malísimo", etc
Acepto que no te guste pero que tú no veas beneficio no significa que no los tenga, máxime cuando ni siquiera lo hemos visto funcionar. Se aventura con: Desplegar contenido de YouTube, o Flickr directamente desde los correos, correos interactivos en los que los usuarios puedan ejecutar acciones sin salir de Hotmail: rechazar o aceptar una invitación (aceptar o rechazar las invitaciones a LinkedIn directamente desde Hotmail, sin tener que abrir otra pestaña. Ver las notificaciones de Facebook por correo en las que podemos poner “me gusta”, responder, y aceptar invitaciones desde el mismo e-mail. ) , rellenar y enviar un formulario. El contenido puede actualizarse, no son “estáticos”, etc. Visto en: http://www.genbeta.com/correo/las-active-views-de-hotmail-van-un-paso-mas-alla-ahora-permiten-correos-con-javascript
Me recuerda a wave donde se podían ver vídeos de youtube o manejar maps entre otras y todos tan contentos.
En cuanto a "tanto inconveniente", si es posible, di cual porque lo que he leído hasta ahora no sirve, no se permite cualquier código javascript, el que se ejecuta lo hace de forma aislada, este procede solo de fuentes autorizadas... vamos, nada de lo que dicen los demás.
Por último, como dice #51, si nosotros somos tan listos y ellos tan burros, ¿por qué Microsoft se empeña en contratar gente tan incompetente?. Digo yo que todo lo que aquí decimos ya se les habrá ocurrido a ellos.
#3 Anda que no hay vulnerabilidades en las máquinas virtuales de javascript...
#3 Te equivocas, con javascritp SÍ pueden entrar virus. De hecho, normalmente los virus entran por javascript. La técnica se basa en corromper el parser de javascript del navegador para provocar un buffer overflow y que ello permita la ejecución de código máquina.
#3 siento hacerte la terribe revelación de que o ejecutas tu navegador en una sandbox o todo tu sistema es vulnerable ante una vulnerabilidad JS de tu navegador como puede ser buffer overflow y otros... y sí, ejecutas código nativo en el sistema operativo con los privilegios del usuario.
nada como pedir en un popup el email y contraseña, que seguro que mas de uno pica
Recordatorios:
(1)- Javascript permite abrir ventanas con un mensaje, ventanas que el usuario debe cerrar pulsando en algún sitio.
(2)- Javascript permite crear bucles como todos los lenguajes de programación. Por tanto, junto a (1) podría crear un bucle que abra 500 ventanitas (o cualquier otro número), que el usuario deba cerrar una a una.
(3)- Programas como Outlook Express ejecutan el javascript de los mensajes sólo con tener la vista previa del mensaje activada, lo que unido a (1) y (2) ... diversión asegurada.
Ayyy! que daño me esta haciendo y eso que todavía no han empezado.
Ejecutar en un correo ... a un usuario todo "SI" ... ¿estamos locos?
#14 Eres muy malo.
cualquier atacante que sepa utilizar bien javascript se va a poner las botas con la de cosas que va a poder hacer con esta nueva vía de diversión y ataque
Un momento un momento....
¿Quiere decir que podré enviar un correo que contenga algo parecido a esto?
javascript:while(1);
Madre mia que peligro!
#39 Muy bien ahora te damos un pin por demostrar que sabes algo de javascript
#61, Gracias! Me hace mucha ilusión...
Si puede ser con la cara de Alf.
Ya puestos que dejen meter javascript dentro de los comentarios de meneame, ya verás que risa.
Ya me parece absurdo mandar por correo texto enriquecido en lugar de texto plano de toda la vida
#35 Meneame necesita javascript para escribir comentarios, creo. Ah y Thunderbird tiene una opción de mostrar todos los correos en texto plano, siendo HTML opcional .
#37 una cosa es que se necesite para poner cosas en negrita y así, y otra muy distinta que puedas meter código dentro de un comentario. eso no se puede.
A mí ya me da igual, me han mandado un mail que dice que me cierran la cuenta si no lo reenvío a todos mis contactos, no lo he reenviado...¡y viene firmado por el presidente!
Toma oleada de nuevos ataques a hotmail!!
(Algunos no aprenden nunca 
)
el 95% de las personas no le sacará utilidad a esta nueva funcionalidad, y sin embargo si lo harán empresasas, gente que mande spam, virus, etc. Pedazo de cagada...
¿Pero a estas alturas quién usa Hotmail?
#54 http://www.google.com/trends?q=hotmail%2C+gmail
Tu mismo...
El titular es un poco sensacionalista, el código pasa a través de un componente llamado Active View que controla qué puede y qué no puede ejecutarse, y al parecer está orientado a que se puedan incluir determinados servicios de páginas web dentro de un e-mail previo pacto con Microsoft.
Vamos, que de ahí a que te permitan hacer un bucle infinito así de buenas hay un trecho aunque creo que de todos modos es algo demasiado arriesgado, tarde o temprano se harán públicos agujeros de seguridad en su Active View y los virus proliferarán a través de ellos.
Y es que fiarse de que la entrada del usuario no va a ser maliciosa nunca ha sido una buena idea
Tanto comentario haciendo el ridículo, Hotmail no permitirá mandar javascript exceptuando a ciertas web de confianza... no me acaba de convencer pero bueno, al menos discutid sobre esta base
Parece que poca gente se ha leído la noticia (excepto #32 y pocos mas):
Hotmail no permitirá la ejecución de código interactivo en cualquier email, usarán una nueva plataforma que han puesto en marcha llamada Active View, que es la que permite a los remitentes ejecutar código a través de acciones integradas directamente con el servicio de correo electrónico. Las primeras empresas en hacer uso de esto son Orbitz y Monster.com, pero no serán las únicas y las siguientes a la plata forma son LinkedIn y Netflix.
Es un problema de seguridad, pero eso no implica que cualquiera pueda enviar un correo con javascript y éste se ejecute, es necesario hacerlo desde la plataforma Active View, y supongo que se vigilará lo que se haga desde ahí. Aunque conociendo a Microsoft, pronto algún spammer conseguirá acceder.
#41 -> #74
Creo que por seguridad los servidores de correo NO deben de ejecutar js, Es sumamente peligroso.
Solución para minimizar el efecto:
- Si te llega un e-mail extraño, venga de donde venga, lo marcas sin abrir y lo eliminas (a.k.a. "Sentido común")
- Para todo lo demás: Firefox y NoScript
Porque esto es algo que NO deberia pasar:
1. La gente que usa hotmail normalmente (ojo, que no digo todos) no tiene grandes conocimientos de informatica, por lo de ser una mierda de servidor de correo y eso
2. Si no saben demasiado de informatica, no creo que se molesten a actualizar a la ultima version de Java
3. Si no actualizan, alli quedan las vulnerabilidades en el sistema.
Solo hace falta que un tio muy simpatico mande una cadena de correos con algun exploit de alguna version no muy antigua de Java para que el ordenador de miles de personas se vaya a tomar por el culo.
Enhorabuena, Microsoft
#48 Mierda, no se porque te he votado positivo. He empezado a leerte y me gustaba. De pronto... giras bruscamente y te tiras por un precipicio diciendo tonterías como que java == javascript?!!¿!¿!!??! Que se puede actualizar!!??!?!?¿!?? Sabes lo que es javascript y que NADA tiene que ver con el otro lenguaje "java"?
Madre mía... Esta feature va a ser la perdición para los pobres usuarios de Hotmail visto lo visto.
#48 La gente que no sabe demasiado de informática todavía confunde Java con Javascript.
#48 Ojala Java fuese Javascript ... tendría menos cosas a estudiar
Mas correos basura, y mas virus
¿Pero aún hay gente que usa hotmail?
No iba a comentar nada sobre oleadas... pero me veo en la obligación... oleada de... vamos que van a petar todos los ie del mundo...
Excelente, ahora los emails en cadena serán más interactivos
Como salga tan bien como en Twitter...
http://www.slashgear.com/twitter-javascript-bug-opens-security-hole-to-malware-porn-pages-21103461/
Oleada de emails con 'efecto de nieve' en 3, 2, 1.. la verdad, yo prefería los virus!
No será la fiesta de los virus, pero...
¡fiesta del XSS!
Mucho lo van a tener que limitar o se van a cavar la tumba. Vamos, con la locura que es tener que estar sanitizando la entrada de los sites que permiten mucha interacción con el usuario, como para abrir javascript. Y aunque sea de forma parcial.
Cuadruple facepalm:
Pero en serio... ¿Alguien usa hotmail hoy en día???
Me imagino que utilizarán algún tipo de "sandbox" mediante frames o algo parecido para que el javascript del email no pueda tomar el controlar de la interfaz de Hotmail, pero el más mínimo bug, la menor brecha de seguridad, podría permitir que el javascript del email tome el control de la interfaz, y eso permitiría control absoluto: Borrarte todos los emails, control remoto de tu cuenta, envío de los datos de sesión...
Un ejemplo: el cracker podría pedir a Paypal que envíe una nueva contraseña para el email en cuestión, y entonces tener el control de su cuenta.
¿Y lo útil que es recibir mails con regalito-gilipollez autoejecutándose? El paraíso de los mercachifles web...
Que RSM se apiade del alma de los pobres usuarios
Hola: Soy el hijo del nigeriano que os envía los mails pidiendo ayuda para sacar el dinero del pais:
Quería agradecer a los que usan hotmail por pagarme el colegio, la universidad y las pilinguis....
Espero hablemos de nuevo muy pronto ahora que hotmail nos está poniendo las cosas más fáciles.
Firmado: Mabutu Mogambo
Por cierto, si te envían un correo con estas extensiones de hotmail a una cuenta de gmail, se verá de forma correcta?
No uso hotmail.
Y la utilidad en donde, simplemente no le veo uso, pero sí un montón de problemas.
Menos mal que unos no aprenden, y otros sí.
Nada, que la gente sigue discutiendo como si cualquiera pudiera mandar javascript usando hotmail...
#40 Esque puede. Si hotmail no lo tiene todo controlado (y microsoft no se caracteriza por la seguridad que emplea en sus productos) con javascript se pueden hacer muchas cosas, desde recibir un correo que al abrirlo te bloqueé el sistema con un bucle infinito como ya han dicho o acceso a datos privados que microsoft no haya controlado bien. Conseguir el listado de contactos... Aparte de que no sé exáctamente para que quieren habilitar javascript en un puto correo electrónico... Solo servirá para que el spam haga más pijadas... Yo soy partidario de que en los correos no exista ni el html si quiera, texto plano y punto.
eSTOS DE MICROSOFT NO APRENDEN YA NO SABEN QUE HACER PARA ESPIARNOS Y TENERNOS CONTROLADOS. lES PASA LO QUE A SU SISTEMA OPERATIVO QUE ES FÁCIL QUE SE INSTALEN LOS VIRUS QUE ES LO QUE A ELLOS LE INTERESAN.