Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / General / Nuevo agujero contra la privacidad en Internet Explorer 5.0

Nuevo agujero contra la privacidad en Internet Explorer 5.0

Por Leave a Comment

Una característica un tanto extraña de Internet Explorer 5.0 puede
permitir a los sitios web conocer que usuarios graban su dirección
entre los favoritos.
Internet Explorer 5.0 no deja de sorprender, desde que apareció ya
acumula numerosos agujeros de seguridad y de ataques a la intimidad
de los usuarios. En esta ocasión, un sitio web puede conocer con
total exactitud que usuarios graban su dirección entre los
preferidos, para de esta forma efectuar minitorizaciones de dicha
reacción. El problema reside en que en ningún momento se avisa al
usuario de que dicha acción puede ser grabada por el sistema.

La base de agujero reside en una característica de Internet
Explorer 5.0 que permite a los desarrolladores de páginas web
identificar su dirección dentro del bookmark del usuario con un
icono identificativo. Todo el proceso se encuentra explicado en
el sitio web para desarrolladores de Microsoft
(http://msdn.microsoft.com/workshop/essentials/versions/ICPIE5.asp).
Pero es tan sencillo como incluir el archivo favicon.ico en el
directorio raiz del sitio web. De esta forma IE 5 descarga de forma
automática el icono que aparecerá junto a la dirección en la lista
de favoritos. Lógicamente esta descarga queda grabada dentro del log
del servidor web, por lo que permite identificar fácilmente los
usuarios que registran la dirección dentro de los favoritos. En
caso de no tener acceso al directorio raíz del servidor tampoco
existe problema para el desarrollador, ya se puede especificar la
localización del archivo con el icono a través del tag:

Lo peor de este cambio, y la principal queja de los defensores de la
intimidad en la Red, reside en que el usuario que visita las páginas
web, no tiene en ningún momento conocimiento de que dicha acción
queda registrada en el servidor. No han tratado en aparecer las
críticas, que protestan por lo que consideran un ataque a la
intimidad, ya que el administrador del web no tiene por que conocer
ningún dado sobre los usuarios que agregan la dirección a los
favoritos. Por otra parte se cree que este problema sea tan sólo
el primero de una lista de agujeros similares, y aunque en principio
no supone ningún riesgo para los usuarios, Microsoft se encuentra
trabajando en un medio para modificar esta opción en futuras
versiones.

Más información:
MSDN Microsoft
Wired

Antonio Ropero

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.