Yesterday I did a talk about how use Firefox as pentesting tool at the Reading Geek Night event. It was a short talk showing only a few extensions to test the web security without other tool rather than a browser.
I’m not going to post the slides because I really didn’t use them but I’m going to post the links to the extensions I used in my presentation:
Moreover I spend a good time listening other three interesting talks and chatting with the people after the show. Thank you 
Estaba yo navegando por unas cuantas paginas, metiendo comillas, mirando codigo HTML, buscando subdominios con Google… cuando me he topado con la pagina de eTendering de Londres 2012 y esta era la pinta que tenia la barra de direcciones de mi navegador:
Quizas hayais visto alguna vez este nuevo añadido de Firefox 3 que ya incluia Internet Explorer 7 y que permite a las compañias solicitar un certificado extendido (Extended Validation Certificate) con su nombre y datos, que hacen que nuestra barra de direcciones cobre “color” y nos sintamos mas seguros. Podeis ver algunos ejemplos en las paginas de Verisign o las de login de Live.com.
En los ejemplos anteriores solo pone el nombre de la compañia (y corto), pero es que a los de Londres 2012 se les ha ido la pinza y han metido todo el chorizaco de nombre de empresa registrado, dejandome sin barra de navegacion a la vista (¿Y ahora como meto yo una comilla?)
Ya curioso me he abierto la misma pagina en los otros navegadores que tengo instalados, Internet Explorer 8 Beta 2 y Google Chrome 2 Beta y este ha sido el resultado (Todas las capturas estan hechas en una ventana maximizada en una resolucion de 1280×800):
Se agradece la opcion de Internet Explorer 8 Beta 2 de definir un tamaño maximo para el nombre de la empresa certificada, pues para mi la barra de direcciones es lo mas sagrado del navegador. Tiron de orejas para Chrome que ademas de ocuparme casi media barra de direcciones con el nombre, no proporciona un elemento claro donde hacer clic y comprobar el resto de informacion del certificado, al menos en Firefox 3 y Internet Explorer la zona se ilumina para indicar que es un elemento interactivo.
¡¡¡Sigo escribiendo!!! Esta semana ya no se ni cuantos posts llevo pero unos cuantos seguros, unos de menos calidad, otros de aun menos… Pero lo de estar escribiendo a todas horas del dia sobre cosas tecnicas por motivos de trabajo me esta animando a soltarme con esto del plasmar ideas por escrito. Hoy vengo a contaros un truquito y una curiosidad. En verdad son lo mismo, pero asi queda como que cuento mas cosas.
Ando leyendo un monton de documentos por la web ultimamente y ademas estos documentos suelen estar en un txt directamente colgado en internet. En concreto al que mas atencion le estoy prestando desde hace dos dias es a w00w00 on Heap Overflow, el cual tiene el dudoso honor de ser la beta mas larga que conozco.
En el texto nos dice que lo que leemos es una version preliminar beta del articulo y ademas aparece fechada en enero de 1999. Esto ya nos daria motivos mas que suficientes para darle el premio a la pagina web que lleva mas tiempo en beta (cuando aun no se sabia que era eso de la web 2.0!!!) pero aun podemos afinar un poco mas sobre la fecha de la beta y de cuando es la ultima version.
Un detalle no muy conocido por la gente es la cabecera Last-Modified del HTTP, que nos indica la ultima vez que se modifico un cierto fichero. Esta cabecera es opcional y normalmente no se suele encontrar en los servidores pero en este caso si que se encuentra presente.
Para ver la cabecera vamos a hacer uso de la extension de Firefox Live HTTP Headers, la cual nos muestra claramente que el fichero fue modificado por ultima vez el 24 de enero de 2002 a las 22:26. Aun con esas creo que le sigue ganando a GMail, el producto beta por excelencia 
Una de las cosas mas importantes cuando navegamos por internet es el poder navegar de manera segura y confiable por paginas en las que podamos depositar nuestra confianza. ¿Y como se hace esto? Mediante certificados firmados por entidades raices de confianza, o lo que es lo mismo, gente en la que confiamos para confiar en gente.
Ayer mientras navegaba desde Windows Vista/IE7 por una pagina del Gobierno de España estuve pasando de pagina cifrada a pagina sin cifrar sin que el navegador me diese ninguna alerta acerca del certificado digital que se estaba usando para cifrar las conexiones. Sin embargo, esta mañana, desde Ubuntu/Firefox si que he recibido una alerta acerca de que no se confiaba en el certificado. ¡Alerta! ¿Que ocurre aqui? Revisando el certificado me encuentro con esto:
A ver quien ha firmado este certificado…
¡Anda! Si es la Fabrica Nacional de Moneda y Timbre… Oh… wait! ¿Firefox en Ubuntu no confia por defecto en la entidad certificadora mas importante de España? ¿Y si alguien quiere, no se, entrar en CUALQUIER pagina de la administracion publica y no sabe como añadir un certificado raiz? Veamos en quien confia el Firefox…
Como se puede observar en la barra de desplazamiento vertical, hay muchas mas de las que aqui se muestran, incluyendo a las populares y mundialmente conocidas como Verisign, Thawte, Swisscom o… ¡Informatica64CA! Si amigos, mi Firefox confía mas en Informática 64 que en la Fabrica Nacional de Moneda y Timbre.
Para hacer mas pruebas arranco de nuevo el ordenador, esta vez en Windows Vista y me dirijo a la pagina cifrada con Firefox para volver a encontrarme el mismo mensaje de error! “No se confia en la entidad certificadora raiz”. Vaya, parece que no va a ser solo problema de GNU/Linux, si no que tambien va a tener su parte de culpa Firefox, con lo bien que me caia…
Al final solo nos quedan dos soluciones:
Hay una tercera opcion, pero quizas sea algo mas tediosa y complicada, que es la de solicitar este mismo certificado a la FNMT e instalarlo en nuestro equipo, aunque con las recomendaciones de seguridad para instalar los certificados en Windows Vista/IE 7 que dan no se si hacerlo…
En fin… Que bien que estoy con mi DNI de plastico y sin chips, sin lios de certificados ni nada… ¿verdad?
 | filemaster on Usabilidad en GNOME |
 | Cain3 on Usabilidad en GNOME |
 | geus on Usabilidad en GNOME |
 | Pedro Laguna on Usabilidad en GNOME |
 | Luis Guerrero on Usabilidad en GNOME |
Theme: Shocking Blue Green. Blog at WordPress.com.
