9/5/10

Fallo de seguridad en login de www.entelchile.net

Pocas veces nos fijamos en la información que se despliega en la barra de direcciones cuando accedemos a un sitio web o más aún cuando ingresamos nuestros nombres de usuarios y contraseñas. Detrás de un login en cualquier sitio, por más básico que sea la autenticación, hay un tratamiento de nuestros datos, tanto del navegador, formulario de datos, servidor al cual estamos accediendo y la base de datos contra la cual se están cotejando nuestros datos.

En estos términos es que advertí que al momento de logear una cuenta en el web mail de http://www.entelchile.net/, los datos (user name y password) son visibles directamente en la barra de direcciones, pese a que en el campo "password" estén ocultos los caracteres al digitarlos.










Riegos:
  • No será necesario un keylogger para capturar la contraseña, un sencillo screenshot y listo.
  • Independiente que digites tu contraseña agazapado en el teclado, bastará con que quien esté a tu lado ponga atención a la barra de direcciones del navegador. 









Espero que la gente de Entel corrija este "descuido".
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)