Ojo con los widgets
No está del todo claro el alcance que puede tener esto, pero si usas Safari 2.0 con Mac OS X 10.4 y no has tocado los ajustes por defecto, podrías encontrarte con que una página web diseñada a tal efecto puede descargar e instalar un widget de Dashboard en tu Mac automáticamente como cuentan en zaptastic: blueprint for a widget of mass destruction. [AVISO IMPORTANTE: si usas Safari 2.0 con Mac OS X 10.4 y no has tocado las opciones por defecto este enlace instalará un widget tirando a molesto]
Esto en si no supone realmente nada porque aunque un widget esté instalado no se activa hasta que tú lo haces, pero quién sabe, con un poco de ingeniería social se pueden lograr cosas mucho más complicadas.
El problema de todo esto es que aunque se supone que los widgets no deberían poder hacer mucho daño en realidad pueden hacer cualquier cosa que el usuario pueda hacer, como por ejemplo borrar un archivo, ejecutar comandos desde la línea de comandos, un AppleScript...
El remedio por ahora es desactivar la opción de Abrir archivos seguros al descargarlos en Safari, o no usar Safari en absoluto.
Hay más información en Dashboard: Widget (In)Security, y es de suponer que Apple corrija eso en una próxima versión del sistema o en una actualización de seguridad, pero la verdad es que parece mentira que a estas alturas del baile alguien sea capaz de sacar un sistema con un agujero de seguridad tan enorme como este.
#1
Eneko
Luego os reis de Windows.. jajajajajaja
Hace más de un año
10 de Mayo de 2005 (23:58)
#2
Camarada Bakunin
Permitidme un poquito de malicia: jijiji...
Hay cabrones por todas partes.
Hace más de un año
11 de Mayo de 2005 (00:04)
#3
nobody
Realmente os parece un agujero de seguridad? en la web de desarrollo de widgets lo dice claramente:
- puede ejecutar cualquier comando UNIX
Por lo que se está bastante avisado... no hay más diferencia que bajarse un programa cualquiera de internet, instalarlo y ejecutarlo ... podría hacer exactamente lo mismo... no?
hay que tener un poco de ojo vamos.. digo yo
Hace más de un año
11 de Mayo de 2005 (10:36)
#4
Wicho
hay que tener un poco de ojo vamos.. digo yo
Ese es el problema, EMO.
Hay mucho patonauta suelto al que no le extrañaría que una página web descargara e instalara algo automáticamente en su máquina, y en este caso ese algo puede ser potencialmente peligroso.
Además, si no sabes dónde se instalan los widgets para borrarlos a mano, no hay forma de eliminar uno que te esté haciendo la puñeta.
Hace más de un año
11 de Mayo de 2005 (11:32)
#5
nobody
Eso es cierto, la opción poco segura a mi entender es que Safari decida ejecutar by default, no los widgets.
En cualquier caso un panel de control para ver que widgets tienes y como borrarlos o instalarlos no estaría de más.
Hace más de un año
11 de Mayo de 2005 (12:37)
#6
miguel
Esto es una gran cagada a mi entender. Se supone que la navegación en un mac, al igual que en un equipo con Linux es más segura que en un PC porque no te instala basura sin que te des cuenta. Con este tema, cualquiera podria instalarte automaticamente un widget que te sacara publicidad cada vez que vas al dashboard. Es una cagada. Apple debería sacar YA una actualización que desactivara por defecto esa característica en Safari.
Hace más de un año
11 de Mayo de 2005 (15:12)
#7
Nacho
Para controlar los widgets, borrarlos, reiniciar el dashboard si tener que reiniciar el usario y todo eso se puede usar Widget Manager
Hace más de un año
11 de Mayo de 2005 (15:49)
#8
Eneko
Bueno, como siempre estos problemas no residen en el sistema operativo, sino en la permisividad de los navegadores.
Windows es igualmente seguro si desactivas todo lo referente a ActiveX y tal. Por ejemplo es lo que tiene de bueno Firefox. Que algo se te instale sin tu permiso es harto difícil.
Resumiendo, los operativos no tienen nada que ver en esto. Los navegadores y sus opciones por defecto sí.
Hace más de un año
11 de Mayo de 2005 (23:10)