22 de noviembre de 2005

El IE y tu Clipboard, una historia de amor publica

Aunque no es algo nuevo, pues el torridoromance ocurre desde la version 5 del IE, no ha sido hasta hace poco que yo me he enterado.

Esta historia publica de amor y dolor, comenzo con la incorporacion de clipboardData y sus tres metodos: "getdata", "setdata" y "cleardata" los cuales permiten acceder a la informacion del portapapeles (vulgo, lo que tienes cuando aprietas Ctrl+c o Ctrl+x) y realizar operaciones de pegado concatenado y eliminacion...

La funcionalidad que se puede ver en algunas webs que permite que copies su direccion al portapales y que solo funciona en el IE, se basa en esto, desde luego, la historia de amor se convierte en cuento de terror, cuando te percatas que alguna mente mal intencionada puede recoger la informacion que tengas en el portapales (como esos numeros de seriales de software inmemorizables), y almacenarla en una base de datos junto con tu ip, para ir recolectando datos sobre ti. Lo mas bello es que tu nunca te enterarias de que eso se hace pues basta un pequeño codigo en JS para hacerlo.

Pero como ningun cotilleo esta completo sin demostraciones, pueden seleccionar todo este articulo, pulsar ctrl+c y luego pinchar aqui para ver una demostracion asi como una explicacion mas detallada del tema.

Es interesante la postura de MS pues este no lo considera una vulnerabilidad, sino una funcionalidad más del Explorer. Lo cual es una demostracion de que no existen los errores, sino las funcionalidades sin documentar...

Igual puede haber muchas personas a las que no les haga gracia que otros accedan a su portapapeles, sobretodo si suele copiar y pegar logines y password para el correo electronico o wesites pagos.

Quien quiera desactivarla puede hacerlo mediante Opciones de Internet -> Seguridad -> Nivel Personalizado -> Automatización -> Permitir Operaciones de pegado por medio de una secuencia de comandos -> Desactivar.

Me pregunto por que motivo al lider del proyecto se le ocurrio permitir que la configuracion por defecto para esta "funcion" sea la de "activo" y no la de "pedir datos"....


Como es costumbre esto no afecta ni a los usuarios de Firefox, ni a los usuarios de IE para Mac ni tampoco a quienes usan linux.

No hay comentarios.:

Publicar un comentario

 
Copyright © 2007 | Diseñado por BlogyWeb