Internet Explorer pone en bandeja los datos FTP

Si no fuera Kriptopolis quien se hace eco referenciando como fuente a otros sitios como secunia por muy Microsoft que fuera no me creería una cagada de tal inmensidad.

Internet Explorer ofrece un sucedáneo de cliente FTP en el navegador. Digo sucedáneo porque en cada versión que ha salido le han quitado alguna que otra funcionalidad problematica.

Sorprendentemente, tras editar un fichero HTML y guardarlo de nuevo, Explorer incluye, como comentario en el código fuente de la página, el nombre de usuario y contraseña de acceso al servidor FTP.

¡Sí! Un comentario HTML con el usuario y contraseña para acceder al servidor FTP. Un ejemplo:

<!-- saved from url=(0042)ftp://name:password@xxx/xxx.html -->

Cagate lorito. Pero quietos que la cosa sigue: ¿está al corriente Microsoft de éste fallo? Sí, desde el 2004. Microsoft dijo en el 2004 que modificar este comportamiento requeriría una “rearquitectura” de la característica. Internet Explorer 7 pese a ser posterior a dicha fecha se comporta de igual forma.

Menos mal que muchos tenderos y tiendas en general que conozco recomiendan Mozilla Firefox “para que no se cuelen tantos virus”, al menos hoy en día ya es habitual ver en el escritorio el logo del mundo con fuego junto al de la “e” azul.

Me veo hordas de crackers y script kiddies buscando sitios “vulnerables”, una búsqueda rápida devuelve 30 millones de resultados y de los 50 primeros la mitad están con el culo al aire.

10 Comentarios (feed)

1. Himliano nos comenta:
   

   Madre de dios!!

   Luego de leer cosas como éstas aún no entiendo como tanta gente puede seguir usándolo…

   Martes, 14 de Agosto/2007 @ 21:20

2. Fepe nos comenta:
   

   Increíble, igual que Himliano, no sé cómo lo siguen usando, estos errores son fatales, pero lo peor es que ya lo sabían. Increíble.

   Hace poco hubo una vulnerabilidad similar pero con Google y YouTube, que te mostraba el usuario y contraseña del FTP también.

   Saludos.

   Martes, 14 de Agosto/2007 @ 22:18

3. Guillem Cantallops Ramis nos comenta:
   

   Qué nos apostamos a que todavia se las ingenian para culpar totalmente a Google, por no filtrar los resultados de esas búsquedas? Y a Linux, claro, porque Google usa Linux…

   Miércoles, 15 de Agosto/2007 @ 0:32

4. JarFil nos comenta:
   

   Este… lo de “30 millones de resultados” me parece un pelín fantasmada.

   saved from url: 37,500,000 resultados
   “saved from url” (con las comillas): 119.000 resultados
   “saved from url” +ftp: 538 resultados
   …de los cuales menos de la mitad son vulnerables

   Resultado: aproximadamente menos de 200 vulnerables.

   Miércoles, 15 de Agosto/2007 @ 3:30

5. Armonth nos comenta:
   

   JarFil fantasmada no es porque, no lo he hecho con esa intención, error en todo caso sí.

   Y si te fijas no digo que haya 30 millones de resultados vulnerables, si no que la primera búsqueda que he hecho devuelve 30 millones (en realidad los 37.5 que tú dices), que de ellos los primeros 50 que he mirado 25 son vulnerables y que me veo a script kiddies y demás calaña buscando entre esos 30 millones de resultados algún sitio vulnerable.

   :)

   Miércoles, 15 de Agosto/2007 @ 3:43

6. j_aroche nos comenta:
   

   ROTFLMAO!!!

   La cagada del año xDD

   Miércoles, 15 de Agosto/2007 @ 6:24

7. yo nos comenta:
   

   Pero si google no da resultados de comentarios en el código fuente.

   Los resultados que salen son de gente que ha puesto una noticia de estas en su web.

   Miércoles, 15 de Agosto/2007 @ 18:04

8. Armonth nos comenta:
   

   Prueba a desactivar los filtros, a mí me sale incluso páginas con el <!– saved from url en el título.

   Miércoles, 15 de Agosto/2007 @ 19:49

9. Sergio nos comenta:
   

   ups i did again!! dijo gates!

   Jueves, 16 de Agosto/2007 @ 0:00

10. Jonathan nos comenta:
    

    No se pueden esperar cosas buenas cuando viene de Microsoft.

    Jueves, 16 de Agosto/2007 @ 2:57

No seas tímido, da tu opinión