Bug de Internet Explorer revela datos de acceso FTP

agosto 14th, 2007

Gracias a Kriptópolis me entero de un bug de Internet Explorer que afecta a todos los webmasters que usan este navegador como FTP para editar y subir sus páginas web al hosting, ya que este navegador agrega un comentario a dicha web con el nombre de usuario y contraseña de acceso mediante FTP al hosting:

<!-- saved from url=(0042)ftp://name:password@xxx/xxx.html -->

De esta forma cualquier persona puede entrar y hacerse con el control de la web, y modificarla o eliminarla por completo.

Lo más gracioso de este tema es que Microsoft tiene conocimiento de este bug desde, al menos, 2004 y sin embargo no hace nada por solucionarlo. Según sus propias palabras, la capacidad de acceder mediante FTP de Internet Explorer es simplemente por comodidad, pero no es un cliente FTP de verdad, además reparar este fallo de seguridad requeriría una rearquitectura de la característica.

La gran pregunta es ¿tan complicado les resulta quitar o eliminar un par de líneas del código fuente de forma que Internet Explorer no escriba este comentario con los datos de acceso al sitio? Y ¿qué clase de programadores tiene contratados esta empresa?

Encima, por si fuese poco, Internet Explorer 7 hereda el bug. Debe ser que no han tenido tiempo de borrar o comentar las líneas…

Además basta con hacer una búsqueda para obtener los datos de acceso mediante FTP de unos cuantos millones de páginas afectadas.

Trackback URI | Comments RSS

Dejar un comentario