Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros, y que se liberan públicamente un mes más tarde.

Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.

*******

Negocios Seguros

sistemas digitales de seguridad

Tenía pendiente desde hace unas semanas hablar de las herramientas de desarrollador de Chrome, y en particular, de la posibilidad de que un usuario pueda cambiar el campo de la contraseña en el código HTML de tipo «password» a «text», haciendo que ésta sea visible.

Esto, que muchos de los desarrolladores ya conocemos desde hace tiempo, es una de las funcionalidades de las herramientas de desarrollo de Chrome que más han sido reportadas como bug por los usuarios (44 veces por ahora).

Y parece que por fin Google se ha pronunciado (EN):

Uno de los reportes más frecuentes que recibimos es sobre la revelación de contraseñas usando la función para inspeccionar elemento (ejemplo). La gente razona que «Si puede ver la contraseña, debe ser un bug». Sin embargo, esto es solo uno de los ataques físicos-locales descritos en el ejemplo anterior, y todos esos puntos se aplican aquí también.

La razón por la que la contraseña está enmascarada es solo para prevenir la revelación a través de «shoulder-surfing» (es decir, la vista pasiva de tu pantalla por personas que están cerca), no porque sea un secreto desconocido para el navegador. El navegador sabe la contraseña en muchas capas, incluyendo JavaScript, herramientas de desarrollo, memoria de procesos, y así. Cuando estás presente físicamente junto al ordenador, y solo cuando estás presente físicamente junto al ordenador, hay, y siempre habrán, herramientas para extraer la contraseña desde cualquiera de estos lugares.

Pues eso, que no podría estar más de acuerdo. Pensar que esto puede ser aprovechado por un tercero es aceptar que esa persona tiene la capacidad de, justo después de que nosotros metamos la contraseña y no le demos a enviar, hacerse con el control de nuestro dispositivo y cambiar esta variable.

Algo que a todas luces se plantea complicado en prácticamente cualquier escenario. Y casi el mayor problema, en caso de que en efecto el atacante tenga acceso físico al dispositivo, no sería esto, sino todo lo que podría hacer con él.

Por otro lado, con anterioridad ya hemos visto situaciones en las que se aprovechaba de forma remota el autocompletado, y aunque sea muy rebuscado, esta podría ser otra de ellas.

Un ejemplo más de cómo no siempre resulta fácil poner los límites en lo que podemos considerar herramientas funcionales y herramientas inseguras.

________

Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».

Banner negocios seguros