02 septiembre 2009

Fallos de seguridad en Opera Unite


Lo reconozco: adoro hablar de estos temas, y creo que ha quedado patente desde hace varios posts. El escenario es siempre parecido, la cuestión es sacar un servicio revolucionario, que se hable de ello, que todo el mundo se registre en él y entrar dos veces contadas, se twittee, se tumblree, se flickree, se facebookee, salga incluso en periódicos y revistas, y que finalmente lo que se supone que es más importante (por lo menos para mi como usuario) quede en entredicho : La seguridad
Hablamos de Opera Unite, que para el que todavía no lo sepa, se proponía como una reinvención de la web. No lo digo yo, buscad "Opera Unite" en Google, y leed los titulares. Consiste a grandes rasgos en poder montarte tu propio servicio de páginas web en el mismo navegador, en este caso Opera. Se empezaban a oir ya los términos "web 3.0", y personalmente, ya se me ponían los pelos de punta. 

La primera vez que leí sobre esto, y ya por deformación profesional, me lo instalé, cuando aún estaba en una beta muy pero que muy verde (con deciros que incluso algunos labels de varias partes de la aplicación estaban todavía con los nombres de las variables...) y me puse a echarle un vistazo. 

Pero no, no quería utilizar sus servicios para crear galerías con fotos, o poner imanes en ese frigorífico virtual, sobretodo porque no tenía intención de dejar 24 horas el Opera ejecutándose. Realmente me lo instalé para ver si podía sacarle las cosquillas por algún lado. Tras un par de búsquedas con la keyword "site:operaunite.com", visitar sitios de gente que ya estaba subiendo contenido a sus espacios personales, que si XSS por aquí, que si XSS por allá, que si contraseñas directamente reflejadas en las urls que compartía la gente en foros y demás... decidí parar y no dedicarle mucho más tiempo.

Gran sorpresa cuando ayer descubro este post en SecureThoughts en el que destripan por completo este servicio, del que yo personalmente ya había olvidado:
  • http://securethoughts.com/2009/08/pwning-opera-unite-with-infernos-eleven/
Nada menos que 11 puntos describiendo vulnerabilidades web típicas de las que os hemos hablado mil veces en este blog. Tenemos enumeración de usuarios, Cross-Site Request Forgery's, Cross-Site Scriptings, contraseñas débiles generadas por defecto...


Vamos a plantearnos la misma pregunta de siempre... ¿Realmente es grave doctor? ¿Hay que darle importancia a una vulnerabilidad que permitiría obtener la contraseña que has utilizado para proteger un simple álbum de fotos? Si a una sección se le puede poner contraseña, es por algo. ¿Me tengo que preocupar de poder conseguir sacar, mediante cierta sentencia en un buscador, una cajita alert que ponga "XSS"?

Lo siento, pero yo me niego a pasar al mundo 3.0 todavía arrastrando fallos como un Cross-Site Scripting o una Inyección SQL.

9 comments :

Anónimo dijo...

La idea no era mala... Mal llevada... Pero no mala ;)

Newlog

José A. Guasch dijo...

@NewLog, de eso no cabe duda, es más, yo diría que la idea es muy curiosa y que puede dar pie a otras muchas, pero lo importante sería que no quedase eclipsada por cosas así :)

Anónimo dijo...

Estoy con el anónimo anterior ... la idea es muy interesante, aunque mal ejecutada ... pero bueno, Apache no se ha hecho en 2 días.

Anónimo dijo...

Yo usaba ya Opera antes de que sacaran este producto. En cuanto lo sacaron me encantó, porque todavía soy reacio a subir mis intimidades a Google.
Pero fallaba más que una escopeta feria. Como tu dices se veían las nombres de las varibles (eso en el mejor de los casos, porque en otras ni se mostraban los botones de opciones).
El servicio de web, como de carpetas compartidas y demás funcionaba los primeros 5 minutos. Tardaba mucho en cargar. Había que rearrancar el navegador mil veces.
En los foros de la página oficial todo el mundo ponía las misma pegas. Nadie contestaba.
Y para rematar. En cuanto pedía actualización te cargaba el Opera 10 que no es compatible por no ser lo mismo con el Opera Unite, por lo que después de actualizar te desaparecía el icono superior izqda con los servicios. Tenías que desinstalar la 10.0 y volver a instalar el Opera Unite.
Al final. He desinstalado todas las versiones del Opera (y eso que me gustaba por llevar integrado el correo), pero la verdad es que la versión del Mozilla 3.5 es más rápida que el Opera. ANTES NO.
Otras funciones como la Turbo del Opera, tampoco funciona bien.
En fin. Creo que han querido abarcar más de lo que podían o muy deprisa y al final se han cargado usuarios. al menos en mi caso.
Saludos

Antonio Sánchez dijo...

Tremendo el artículo del link

salu2

Rodrigo Castro dijo...

se proponía como una reinvención de la web?

Ellos afirman que son la REVOLUCION DE LOS EXPLORADORES no de la web...Y yo estoy de acuerdo el Opera 10 esta sobre el Firefox.

Anónimo dijo...

Jose se te lee con cierto recelo, y no entiendo el por que.
En la actualidad uso el Opera 10.10 Beta, escucho los 50gb de mp3 de la pc de mi casa en el laburo sin inconvenientes. Mismo para compartir archivos es muy practico, y funcional. Es otra idea de "socializar" Internet, así como el p2p.
Ojala que la cantidad de usuarios de browsers se siga dispersando equitativamente para lograr un mercado sano y descentralizado entre los navegadores, y los mismos sigan ideando y evolucionando para sacarse ventajas.

Saludos, Piero.

Rodrigo Castro dijo...

se proponía como una reinvención de la web?

Ellos afirman que son la REVOLUCION DE LOS EXPLORADORES no de la web...Y yo estoy de acuerdo el Opera 10 esta sobre el Firefox.

Antonio Sánchez dijo...

Tremendo el artículo del link

salu2