Estás aquí: Bienvenida -> Menú -> Anonimicidad
 
Pulsa aqui para ir al menu principal.

COOKIES

 

Aqui tienes el numero de identificacion de tu reproductor Windows Media Player: Cualquier webmaster puede obtenerlo e intercambiar con otros tus preferencias de navegacion, aún cuando bloquees las cookies.
Para evitar, impedir o al menos dificultar que cualquiera llegue a conocer todas tus miserias, visita mi página cookies.

Delivered-To: lista mundomorbo@eListas.net
Received: (qmail 19699 invoked from network); 23 Jan 2002 23:01:38 +0100
Message-ID: <007b01c1a458$632486a0$1765fea9@patas2k>
From: "CyruxNET" <cyrux@bigfoot.com>
To: "Mandar a la Lista" <mundomorbo@eListas.net>
Date: Wed, 23 Jan 2002 22:53:20 +0100
Subject: [TribalTeam-TribalHack] La falta de seguridad de las SuperCookies del Internet Explorer afecta grávemente contra la privacidad de los usuarios de Windows
X-DPOP: Version number supressed
X-UIDL: 1011826759.215513
Status: U


La falta de seguridad de las SuperCookies del Internet Explorer afecta grávemente contra la privacidad de los usuarios de Windows.

16-01-2002

Aunque no se trata exactamente de una vulnerabilidad incluimos aquí este texto debido a la gravedad que puede representear.

Existe un problema de privacidad en el Internet Explorer debido al diseño del Windows Media Player (WMP). Usando un simple código Javascript en una página web, dicha web puede grabar el número ID del Windows Media Player del visitante. Ese número puede ser usado luego como una cookie para seguir los pasos del visitante a través de la web.
Ese ID number se convierte en una SuperCookie porque puede ser usado por los sitios web para saltarse toda la nueva privacidad y protecciones P3P que Microsoft ha añadido al Internet Explorer 6 (IE6). IE6 está incluido en los sistemas Windows XP. Las SuperCookies funcionan tambien en todas las versiones anteriores del Internet Explorer y con todas las versiones de Windows.
Algunas de las otras caracteristicas de las SuperCookies son:

Todos los sitios web sites consiguen el mismo número ID por lo tanto pueden fácilmente intercambiar información sobre las preferencias del usuario, dicha información puede ser utilizada por terceras compañías (marketing, publicidad,...).
Aunque el usuario use un programa específico para bloquear las cookies, las SuperCookies seguirán funcionando.
Si un usuario ha borrado las cookies de su Pc para borrar sus huellas, el sitio web puede restablecer los valores que tenía la cookie que correspondía con el número ID que posee el usuario. Una vez que el valor de la cookie ha sido restablecido, el sitio web puede continuar con el antiguo seguimiento que el usuario intentó evitar.


Para bloquear las SuperCookies es necesario cambiar una "desconocida opción" del WMP.

DEMOSTRACIÓN

http://www.computerbytesman.com/privacy/supercookiedemo.htm



Detalles Técnicos:

Cuando el Windows Media Player está instalado en un computador, un único número ID le es asignado. Ese ID se guarda en el registro. El interface ActiveX para el Windows Media Player permite a cuanquier JavaScript recibir el ID usando la propiedad "ClientID".
El siguiente ejemplo HTML y código JavaScript demustra lo fácil que es conseguir el ID.


<OBJECT classid="clsid:22D6F312-B0F6-11D0-94AB-0080C74C7E95" ID=WMP WIDTH=1 HEIGHT=1>
</OBJECT>

<script>
alert(document.WMP.ClientID);
</script>

Una vez que el JavaScript se puede hacer con el ID, éste puede ser reenviado al sitio web.
El número ID del WMP está situado en el registro del Windows en las siguientes cadenas:

HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General string value "UniqueID"

ó

HKEY_USERS\<user>\Software\Microsoft\Windows Media\WMSDK\General string value "UniqueID"

Si cambias esas cadenas manualmente usando el REGEDIT, en la demostración podrás ver el nuevo número ID. Pero si dejas las cadenas cambiadas puede fallar el "Digital Rights Management" (DRM) del WMP.

En el WMP, hay una opción en "Ver | Opciones" pestaña "Reproductor", hay una casilla llamada "Permitir que los sitios asignen un nombre exclusivo al reproductor" que por defecto está seleccionada, si desactivas esta opción, las SuperCookies se desactivarán porque el Internet Explorer generará un nuevo número ID number en cada sesión del IE.

Las SuperCookies funcionan también en el Netscape Navigator si está instalado el plugin del WMP.

Recomendaciones de Microsoft:
Este problema fue notificado a Microsoft en Marzo 2001. Hasta el momento no hay manera de desactivar las SuperCookies excepto desinstalar el WMP o desactivar el JavaScript. En respuesta a esta notificación, Microsoft actualizó el WMP añadiendo la opción "Permitir que los sitios asignen un nombre exclusivo al reproductor". Está actualización está descrita en el siguiente boletín:

http://www.microsoft.com/technet/security/bulletin/MS01-029.asp

De todos modos no parece una solución muy apropiada para la mayoría de los usuarios de Windows. La opción debería ser definitivamente desactivada, en vez de añadir una casilla en una opción remota que pasa normalmente desapercibida.


Links
Microsoft Security Bulletin on a Windows Media Player patch
NTBugTraq: Windows Media Player ID update
CNET: Privacy flaw continues to dig IE hole
MSNBC: Privacy issue hits Windows Media
The Register: Windows Media Player must be patched to fix IE ]
Newsbytes: Windows Media Player 'Super Cookies' Could Help Track Users



Traducción libre de CyruxNET del texto:

http://www.computerbytesman.com/privacy/supercookie.htm

escrito por Richard M. Smith ( mailto:rms@computerbytesman.com?subject=SuperCookies )
16-01- 2002


Team Tribal & MundoMorbo G.S.I.

http://www.mundomorbo.cjb.net
http://www.tribal-team.cjb.net
http://www.tribal-2002.cjb.net

Edicion Beta de Tribal Dj web dedicada al mundo Dj www.tribaldj.cjb.net
Esto no es publicidad es otra seccion de tribal Team


Comunicacion con Tribal Team por Messenger
(Casos Importantes o preguntas puntuales)
tribalteam@hotmail.com

Grupo de Seguridad Informática 2001
Apología a la Libertad de Expresión

 

 


Si por cualquier motivo no debes, no puedes, no quieres o no sabes utilizar tu cliente de correo electrónico o tu correo electrónico vía web, con cualquiera de los dos formularios que hay en la página contactar, puedes ponerte en contacto conmigo. No puedo prometerte que vaya a contestar, por falta de tiempo para responder todos los correos que recibo, pero puedes tener la seguridad que leo absolutamente todo lo que recibo. Si lo que deseas es formular cualquier tipo de pregunta sobre seguridad informática, te recuerdo que existe una lista de correo específicamente para ello. !Suscríbete!
 

 

 
Mis páginas no están registradas ni tienen Copyright. Se pueden copiar libremente, con la única condición de que pongas un enlace a "hay gente pa tó ..."