Explicación completa de que es y como funciona el clickjacking, además, termina con un ejemplo que utiliza para votar noticias en fresqui, según explica, menéame no es vulnerable, ya que no permite abrir la página dentro de un iframe.
#3:
#2
¿Por que? ¿Los fallos de seguridad son cansinos?
En este caso solo se trata de falsificar "meneos", pero cuando los fallos comprometen información tuya no te parece tan cansino, ¿no?
#6:
#3 yo creo que el problema y a lo que se refiere #2 es que han habido muchos artículos sobre clickjacking, que no aportaban nada nuevo, y el tema está quemado.
Sin embargo, en este caso, se aporta un ejemplo real, que ataca a un sitio real, código de ejemplo y una explicación técnica completa de que es, que complementa, y por que existe, etc.
Es un artículo puramente técnico, no se trata de un artículo para "informar" al usuario de que existe un ataque nuevo llamado clickjacking.
#17:
Anda!!! Qué curioso! Acabo de ver en la portada de fresqui una noticia con más de 15 votos!!
#18:
>Aunque a mi me gusta hacer los experimentos con meneame, contactar con Ricardo antes de publicar nada, para que lo arregle, y entonces hacer el artículo, esta vez no puedo, por que meneame no es vulnerable a clickjacking, así que voy a hacer el experimento con fresqui.
Y contacto con fresqui? o no merecen que pierda su tiempo avisando de este fallo?
Voto provocación por con quien se está ejecutando el fallo.
#3 yo creo que el problema y a lo que se refiere #2 es que han habido muchos artículos sobre clickjacking, que no aportaban nada nuevo, y el tema está quemado.
Sin embargo, en este caso, se aporta un ejemplo real, que ataca a un sitio real, código de ejemplo y una explicación técnica completa de que es, que complementa, y por que existe, etc.
Es un artículo puramente técnico, no se trata de un artículo para "informar" al usuario de que existe un ataque nuevo llamado clickjacking.
>Aunque a mi me gusta hacer los experimentos con meneame, contactar con Ricardo antes de publicar nada, para que lo arregle, y entonces hacer el artículo, esta vez no puedo, por que meneame no es vulnerable a clickjacking, así que voy a hacer el experimento con fresqui.
Y contacto con fresqui? o no merecen que pierda su tiempo avisando de este fallo?
Voto provocación por con quien se está ejecutando el fallo.
#18 A lo mejor no es lo mismo, por que Menéame es software libre y se trata de cooperar en la seguridad (es una hipótesis). O son amigos, vaya usted a saber. Por otro lado, si fuera un ataque realmente "maligno" o que pudiera causar un perjuicio real a Fresqui, no creo que lo hubiera publicado. En este caso particular, no importa demasiado, ya lo arreglarán... Pero bueno, que lo responda el autor del blog.
Pues yo considero que el artículo está de PM porque en lugar de copiar y pegar una noticia y decir cuatro chorradas sensacionalistas hace una análisis técnico, ofrece código, un ejemplo funcional, etc. Dista años luz de las noticias con las cuales algunos lo comparáis. De lo que estamos hartos es del copia y pega
#26 Reacción completamente normal y previsible. La teoría está muy bien pero a todos nos gusta experimentarlo en la práctica y pulsar el botón. Gracias a ese instinto hemos evolucionado bastante desde la época de Lucy.
#28 Evidentemente que alguien nos ha allanado el camino, es lo que vulgarmente se conoce como tutorial, y consiste en que uno que sabe mucho de algo o se ha currado un tema explica a los demás en qué consiste.
Si para ti es seguir siendo un ignorante, mala suerte, no es mi caso, gracias a haberme leido el artículo y haber corroborado lo leido pulsando el botón, sé un poquito más que ayer.
Ahora ilumínanos y dinos qué deberíamos haber hecho tras pulsar el botón. Si somos unos niñatos y unos gilipollas ignorantes es posible que algo se nos escape. Menos mal que te tenemos aquí para ayudarnos e instruirnos.
#31 Después de leerme el artículo, repetí cincuenta veces un mantra, hice cinco inspiraciones... y no pulsé el botoncito. Y no entiendo cuál es exactamente la parte de escarnio. ¿Decir que es algo inédito en fresqui? Lo es.
Por otra parte, no es como si se estuviera tirando la web. Sigue funcionando y no se ha hecho daño a nadie en el camino. Así que no veo la razón de tanta indignación moral.
Firefox + NoScript, bloqueas iframes y cada vez que alguien se intente pasar de listo ves el IFRAME tapando toda la ventana misteriosamente por encima de otros textos o botones. Canta demasiado...
#29 Haces mal en confiar en otros una tarea que tú mismo podrías llevar a cabo. Aunque es más facil reirse de los demás y apretar un botoncito, sin tener en cuenta el trabajo que hay detrás de una página (sea cual sea). Trabajo que, por otra parte, muchos demuestran que no solo ignoran, sino que además desprecian.
Tras pulsar el botón deberías haber escrito un correo a los responsables de la página, informándoles de la vulnerabilidad. Ya que eres tan intrépido y tan curioso para leer lo que tu llamas "tutorial" y luego apretar el bendito botoncito, por lo menos demuestra que también tienes algo de ética.
Ah no, que tú eres de los típicos que se meten en zackyfiles/vilani/elotrolado , investigan poco, preguntan mucho, y se enriquecen más con el trabajo de los demás, para luego pasar a despreciar su trabajo. Vamos, lo que se llama un parásito del conocimiento.
Comentarios
#2
¿Por que? ¿Los fallos de seguridad son cansinos?
En este caso solo se trata de falsificar "meneos", pero cuando los fallos comprometen información tuya no te parece tan cansino, ¿no?
Uy, ha dicho Fresqui.
Anda!!! Qué curioso! Acabo de ver en la portada de fresqui una noticia con más de 15 votos!!
#3 yo creo que el problema y a lo que se refiere #2 es que han habido muchos artículos sobre clickjacking, que no aportaban nada nuevo, y el tema está quemado.
Sin embargo, en este caso, se aporta un ejemplo real, que ataca a un sitio real, código de ejemplo y una explicación técnica completa de que es, que complementa, y por que existe, etc.
Es un artículo puramente técnico, no se trata de un artículo para "informar" al usuario de que existe un ataque nuevo llamado clickjacking.
A que fresqui se cae por efecto meneame?
Hoy descorchan champán en Fresqui al ver una noticia con más de 200 votos
>Aunque a mi me gusta hacer los experimentos con meneame, contactar con Ricardo antes de publicar nada, para que lo arregle, y entonces hacer el artículo, esta vez no puedo, por que meneame no es vulnerable a clickjacking, así que voy a hacer el experimento con fresqui.
Y contacto con fresqui? o no merecen que pierda su tiempo avisando de este fallo?
Voto provocación por con quien se está ejecutando el fallo.
> He creado una página que utilizando las técnicas de clickjacking, crea un botón, que de pulsarlo, estarías votando esta noticia de fresqui:
> http://tec.fresqui.com/cientificos-descubren-que-el-sol-no-es-una-esfera-perfecta
> El ejemplo, lo podéis ver aquí, y solo funciona en firefox (paso de internet explorer :):
> http://eyeideas.es/clickjacking.html
#2, ¿pero has leido el articulo?
Noticia en fresqui: 350 votos al momento que revisé.
Esta noticia en Menéame: 260 votos.
¡La realidad se rompe!
#18 A lo mejor no es lo mismo, por que Menéame es software libre y se trata de cooperar en la seguridad (es una hipótesis). O son amigos, vaya usted a saber. Por otro lado, si fuera un ataque realmente "maligno" o que pudiera causar un perjuicio real a Fresqui, no creo que lo hubiera publicado. En este caso particular, no importa demasiado, ya lo arreglarán... Pero bueno, que lo responda el autor del blog.
#26 Todos confiamos en que gente responsable y solidaria como tú les avise. Porque ya lo hiciste, espero.
Edit: Estaba hablando de otra cosa, eso me pasa por no leer las noticias antes de comentar.
Pues yo considero que el artículo está de PM porque en lugar de copiar y pegar una noticia y decir cuatro chorradas sensacionalistas hace una análisis técnico, ofrece código, un ejemplo funcional, etc. Dista años luz de las noticias con las cuales algunos lo comparáis. De lo que estamos hartos es del copia y pega
#26 Reacción completamente normal y previsible. La teoría está muy bien pero a todos nos gusta experimentarlo en la práctica y pulsar el botón. Gracias a ese instinto hemos evolucionado bastante desde la época de Lucy.
#28 Evidentemente que alguien nos ha allanado el camino, es lo que vulgarmente se conoce como tutorial, y consiste en que uno que sabe mucho de algo o se ha currado un tema explica a los demás en qué consiste.
Si para ti es seguir siendo un ignorante, mala suerte, no es mi caso, gracias a haberme leido el artículo y haber corroborado lo leido pulsando el botón, sé un poquito más que ayer.
Ahora ilumínanos y dinos qué deberíamos haber hecho tras pulsar el botón. Si somos unos niñatos y unos gilipollas ignorantes es posible que algo se nos escape. Menos mal que te tenemos aquí para ayudarnos e instruirnos.
#31 "sin acritud" dice
eres un cachondo
#31 Después de leerme el artículo, repetí cincuenta veces un mantra, hice cinco inspiraciones... y no pulsé el botoncito. Y no entiendo cuál es exactamente la parte de escarnio. ¿Decir que es algo inédito en fresqui? Lo es.
Por otra parte, no es como si se estuviera tirando la web. Sigue funcionando y no se ha hecho daño a nadie en el camino. Así que no veo la razón de tanta indignación moral.
Sin acritud.
http://meneame.net/search.php?p=tag&q=clickjacking
Si #10 es que no había leido la noticia, pensaba que se basaba simplemente en generar un enlace. Ya he editado, sorry.
Genial artículo.
Pésima reacción de algunos lectores, acudiendo al sitio web y probando en "vivo" el fallo.
No sería mejor informar a los responsables? No, mejor el escarnio. Niñatos...
#0 ouch, mil disculpas por cometerte un negativo por error :S
perdón, perdón, perdón...
Un gran artículo, interesante y muy explícito. Como siempre un buen trabajo.
cansinísimo tema... en mi opinion
#6 exacto. Demasiados artículos sobre el tema... no lo he leido, sé poco sobre el tema la verdad.
#9 En realidad eso no te libra lo mas mínimo del clickjacking (no confundir con CSRF), fresqui tiene exactamente ese mismo sistema, y es vulnerable.
meneame no es vulnerable a clickjacking por que no permite cargarlo en un iframe, igual que gmail.
#5 castigado dos meneos sin votar por torpe...
Es pura casualidad que meneame esté a salvo. Los iFrames los bloquearon por culpa de eso:
Menéalo, plugin de Wordpress para autopromocionar lo que te meneen
Menéalo, plugin de Wordpress para autopromocionar ...
86400.esFirefox + NoScript, bloqueas iframes y cada vez que alguien se intente pasar de listo ves el IFRAME tapando toda la ventana misteriosamente por encima de otros textos o botones. Canta demasiado...
#29 Haces mal en confiar en otros una tarea que tú mismo podrías llevar a cabo. Aunque es más facil reirse de los demás y apretar un botoncito, sin tener en cuenta el trabajo que hay detrás de una página (sea cual sea). Trabajo que, por otra parte, muchos demuestran que no solo ignoran, sino que además desprecian.
#30
Tras pulsar el botón deberías haber escrito un correo a los responsables de la página, informándoles de la vulnerabilidad. Ya que eres tan intrépido y tan curioso para leer lo que tu llamas "tutorial" y luego apretar el bendito botoncito, por lo menos demuestra que también tienes algo de ética.
Ah no, que tú eres de los típicos que se meten en zackyfiles/vilani/elotrolado , investigan poco, preguntan mucho, y se enriquecen más con el trabajo de los demás, para luego pasar a despreciar su trabajo. Vamos, lo que se llama un parásito del conocimiento.
Sin acritud...
Interesante, a ver si inventas algo para ad mierdense..xD
Y si este articulo es un montaje para que todo el mundo acceda al segundo site de ejemplo y así hacer spam sobre la web del que puso el post...
mmm, creo que vi demasiadas películas de espías últimamente...
El problema es que aproximadamente el 99% de la gente se queda en eso: apretar el botón. Porque es fácil, y alguien ya les ha allanado el camino.
Después de la gracia, un pipi y a la camita a dormir.
Eso no es evolucionar, ni curiosidad constructiva. Es ser un gilipollas y es seguir siendo un ignorante.