Bitperbit

Siempre he defendido a Firefox sobre otros navegadores, especialmente frente al Internet Explorer. Mi argumento más sólido es la seguridad que ofrece el navegador de Mozilla sobre otros. Pero como nada es perfecto, aquí hay una prueba de que Firefox no es invulnerable ni mucho menos, también tiene sus bugs.

El “truco” básicamente consiste en poner a prueba el sistema anti-phising de Firefox 2. Es decir, cuando uno entra a una página que pretende engañarnos y robarnos los datos al lucir igual a otra página (por ejemplo eBay), un filtro de Firefox nos avisa que la página es peligrosa, y que salgamos de ahí inmediatamente.

En Kriptópolis han descubierto cómo engañar al filtro de Firefox, y entrar a la página falsa sin ningún tipo de advertencias de seguridad. Parece que Firefox “entiende” cuando navegas en una página peligrosa sólo si la URL está escrita con caracteres normales (ASCII), pero si cambias la URL por su equivalencia en hexadecimal, Firefox es “engañado” y tu seguridad se pone en riesgo.

Como no lo quería creer, decidí hacer mi propia comprobación y lamentablemente resultó ser verdad y eso no es lo peor. Si se hace lo mismo en el IE7, los filtros contra el phising se activan, ya sea que ingreses la URL ordinaria o la convertida a hexadecimal. Este es un bug del que IE está exento, pero Firefox no, cosa que es muy  rara de ver.

Si deseas intentarlo tú mismo, asegúrate de tener Firefox 2 instalado. Ve a la siguiente URL:

http://200.119.135.99/ebay/login5878/

Si todo va bien, deberás ver el mensaje de advertencia de Firefox, dándote la oportunidad de salir del sitio, ya que se ha identificado como peligroso. Si no aparece la advertencia, estás frito xD.

Para comprobar que existe un fallo en el filtro, deberás “transformar” esta URL a código hexadecimal. Usa esta herramienta para lograrlo. Continuando con el ejemplo de arriba, la URL ahora es:

http://0xc8.0x77.0x87.0x63/ebay/login5878/

Si pones esa dirección en el navegador, verás como puedes entrar sin problemas, sin ningún tipo de aviso, cosa que resulta muy peligrosa para todos los usuarios que creen que están “protegidos” por Firefox. Puedes intentar el “truco” con el IE7 y verás cómo las alarmas se activan automáticamente, sea cual sea el formato d la URL. Es algo triste, pero cierto, Firefox también tiene fallas graves de seguridad.

De cualquier manera, una falla no va a cambiar el desempeño general del navegador; por cada bug en Firefox podemos encontrar muchos más en IE.

Vía: Nueva chapuza en Firefox 2.0: su mecanismo anti-phishing (Kriptópolis)