jueves, junio 10, 2010

Estado del expediente de Google Chrome

El 25 de Mayo reportamos al proyecto de Chromium, lo que a nuestro entender era, un fallo de seguridad respecto a una funcionalidad de las opciones de privacidad. Aunque nosotros lo reportamos para la versión 4, dicho funcionamiento es idéntico en la nueva versión 5. Dicha opción existe para bloquear el Javascript en todos los sitios menos en una lista de excepciones o viceversa. Sin embargo, cuando el sitio está metido dentro de un iframe esta opción no funciona ya que se aplica solo la URL de la top window.

La respuesta inicial al reporte fue que no era un fallo sino una característica del funcionamiento y que, al final, un usuario medio, no sabe que es un iframe. En este post os quiero poner un poco al día de cómo ha evolucionado la historia ya que no parece que vaya a haber sangre con esta "issue".

En primer lugar, la issue 44985 ha recibido un nuevo nombre y ha pasado a tener el nombre de “Make content settings restrictions apply to resources (as well as the top frame)”. Además, de la catalogación inical de Wonfix ha pasado a un estado de prioridad 3 y ser un caso abierto.


Figura 1: Status actual del expediente

Este cambio se produjo al poco tiempo, por parte de uno los que revisó el caso a posteriori, (por privacidad voy a mantenerle en el anonimato). Como se puede ver, la issue 44958 la catalogaron como una “petición de característica”.


Figura 2: Reapertura del expediente

Sin embargo, sirdarckcat vino a poner algo de orden a esto, explicándolo para que todo el mundo lo entendiese.


Figura 3: Explicación rápida

Al final, parece que se está trabajando en modificar la funcionalidad para que funcione en todas las URL de recursos además de que se pueda elegir puntualmente si se permiten los scripts de una web cuando están cargados de distintos sitos. Algo similar a lo que tiene Internet Explorer 8 con el filtro InPrivate.


Figura 4: Filtro inPrivate de Internet Explorer 8

Seguiremos a la espera hasta ver como termina esta historia y cuando tendremos disponible esta opción de privacidad en Google Chrome.

Saludos Malignos!

12 comentarios:

Novlucker dijo...

Bueno, si hacen algo como lo que comenta sirdarckcat, habrás sido participe de una muy útil mejora de Chrome :)

Igual aún sigo sin entender como no les quedo claro a la primera, si hasta iba con imagenes y todo xD

Saludos

Christian Hernández dijo...

Si es que las verdades duelen...

Ole dijo...

Es fantastico ver como cuando le destapas una vergüenza a alguien siempre lo primero es negarlo, quitarle importancia, etc...

Me recuerda a un colega que me hablaba de los captchas que habia puesto en su blog, "se mueven y todo para que sean mas dificiles de sacar", a lo que le respondi que lo que debia hacer es primero centrarse en cosas que realmente son susceptibles de ser atacadas... por ejemplo que para autenticarse en su blog la informacion va en texto claro, le recomente poner al menos esa parte usando SSL... la respuesta fue que no importa tanto, que espera que no aparezca ningun colega cabron aprovechandose de eso y que ademas daba igual porque SSL esta roto...

Tecnicoless a la vista!

Anónimo dijo...

si fuera en microsoft en vez de en google seguro seguro que no sería ni la mitad de público, ni les darías tanto la vara eh chema?

Que en todos los lados cuecen habas..

Anónimo dijo...

Como mola no?

Es cierto que al principio parecia que cada uno hablaba su propio idioma, pero ahora parece que se ha entendido y estan trabajando en ello.

Maligno dijo...

@anónimo de las 11:42, sí, menos mal. Aquí tienes el link del expediente para que lo sigas.

http://code.google.com/p/chromium/issues/detail?id=44985

Saludos!

Anónimo dijo...

inprivate, cada vez que entro lo tengo que activar, para mi esto es un bug.
Solución:

http://www.windowstecnico.com/archive/2009/04/27/windows-internet-explorer-8-inprivate.aspx

Brouwer dijo...

si bien el filtro de Chrome funciona mal, en ie8 no existe ningún filtro funcional para scripts, o bloqueas todo o nada.

TheSur dijo...

Brouwer, en IE existe un sistema de zonas (Sitios de confianza, sitios restringidos...), y ahí puedes añadir los dominios y especificar que tipo d seguridad quieres para cada zona. Permite una configuración bastante mas amplia que la que ofrece chrome

Brouwer dijo...

@TheSur,

Eso no funciona en una buena cantidad de sitios, por ejemplo bloquea scripts para la zona de internet y trata de leer tu correo hotmail con la zona de seguridad.

TheSur dijo...
Este comentario ha sido eliminado por el autor.
Leonardroid dijo...

El filtro inPrivate de IE8 me ha funcionado excelente, para activarlo, abres una nueva pestaña y selecciona "Exploración con InPrivate" en el menú que aparece en la página en blanco o mediante el menú de seguridad, esto abrirá otra ventana con el InPrivate activado. Al activarlo, verás en la barra de direcciones un icono azul que dice "InPrivate", después puedes navegar de forma privada, al cerrar la pestaña o el navegador, se destruirá todo rastro de tu exploración. 

No es tan complicado.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares