Vulnerabilidad en autenticación no encriptada

en Noticias de Seguridad Informatica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Seguridad Informatica
Noticias de Seguridad Informatica Noticias de Seguridad Informatica Todas las Noticias de Seguridad Informatica. Alertas y fallos de seguridad.

Vulnerabilidad en autenticación no encriptada

Compartir

El US-CERT advierte sobre sitios Web que transmiten señales de autenticación sin encriptar. Debido a ello, las cookies utilizadas por algunos servicios de Internet, pueden ser interceptadas por un atacante.

Algunos sitios Web transmiten esta autenticación sin ninguna clase de cifrado durante la sesión entera, aún cuando éstas son iniciadas sobre una sesión HTTP encriptada.

Este comportamiento, podría permitir a un atacante en la red, usurpar las credenciales de un usuario legítimo.

Sitios que aplican cookies de autenticación sobre un inicio de sesión HTTPS (protocolo seguro), y luego transmiten las cookies sobre HTTP (protocolo no seguro), son particularmente vulnerables, puesto que es más probable que los usuarios piensen que la seguridad de la página a la que están conectados se aplica a toda la sesión.

Las cookies HTTP son textos que envía el servidor Web al navegador. Las cookies se transmiten después al servidor cuando el navegador tiene acceso al sitio Web.

Algunos sitios pueden autenticar a un usuario con un nombre y contraseña y crear una cookie con un identificador único, para responder a las futuras peticiones de autenticación.

Para aumentar la seguridad, el sitio Web puede borrar la cookie cuando el usuario abandona la sesión habilitando el atributo opcional "Secure" en el cabezal de respuesta "Set-Cookie", o haciendo que la cookie expire después de un tiempo específico.

Barras de herramientas o extensiones utilizadas por los navegadores, pueden también enviar credenciales de autenticación (cookies) a los sitios o servicios Web.

Sitios que utilizan cookies para autenticación sobre protocolos de texto plano tales como HTTP, son vulnerables a que ésta autenticación sea interceptada, simplemente accediendo al tráfico que transporta a la cookie.

Luego de ello, el atacante podría utilizarla como credencial de autenticación, tomando cualquier clase de acción en el sitio Web, como si se tratara del propio usuario. Son afectados especialmente aquellos sitios que ofrecen un software como servicio.

El cifrado nulo es una opción válida al usar HTTPS, de acuerdo a las especificaciones originales del SSL (Secure Socket Layer, la tecnología que utiliza criptografía para cifrar los datos que se intercambian con un servidor seguro).

Para minimizar los riesgos, se aconseja al usuario que inicia sesión en una dirección HTTPS://, observar que la misma se mantenga así y no cambie a HTTP:// mientras se navega.

También es aconsejable al abandonar una sesión, utilizar la opción correspondiente en el sitio Web, y no solo cerrar la ventana o acceder a otra dirección (sitio) de Internet. Esto disminuye las posibilidades de que un atacante obtenga las credenciales del usuario y explote la vulnerabilidad.

Algunos sitios actualmente vulnerables:
Google
Microsoft Corporation
Yahoo
Sitios probablemente vulnerables:

eBay
MySpace.com
Tenga en cuenta que cualquier otro sitio que utilice usuario y contraseña para ofrecerle alguna clase de servicio podría ser vulnerable.

Compartir
  #1  
Creado: 10-Sep-2007, a las 10:30 Vistas: 699
Categoria: Noticias de Seguridad Informatica
Creado por: ATO ATO está desconectado (14-September-2005 | 839 Mensajes.)
Respuesta

Etiquetas
autenticación, encriptada, vulnerabilidad


Temas Similares
» Vulnerabilidad de autenticación en Terminal Services 0
» IE 7 y Firefox propensos a ataques en autenticación 0
» Vulnerabilidad Zero-day en servidores DNS vía RPC 0
» Sandisk lanza sistema de autenticación contra el fraude 0
» Vulnerabilidad en Firefox 1.5.0.3 (img=src) 0
» Vulnerabilidad en RealVNC permite eludir autenticación 0
» DoS en pre autenticación de Symantec pcAnywhere 0
» Problemas con la autenticación en MSN Messenger 0
» Otra debilidad en autenticación de Mozilla y Firefox 0
» Vulnerabilidad XSS en Opera 8.0 y anteriores 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 21:43.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4