Etiquetamicrosoft

Vulnerabilidad en red social de Microsoft permite usar sus servidores como proxy

SO.CL es el nombre de la red social de Microsoft la cual permite, mediante una vulnerabilidad que afecta a uno de sus servidores, usar una IP de Microsoft como proxy.
La vulnerabilidad afecta al servicio que genera las minuaturas (thumbnail) de las imagenes que suben los usuarios a la red. Al insertar o enlazar una imagen, la red social llama a https://cdn2.so.cl/handlers/thumbnail entregandole mediante GET la URL de la imagen a mostrar. Este sistema de thumbnails no valida correctamente los parametros permitiendo generar request a servidores remotos de manera arbitraria.

La vulnerabilidad en si es un poco compleja de explotar, ya que no devuelve ningún valor, pero realizando algunas pruebas de concepto con un servidor de pruebas podemos analizar el comportamiento e imaginar distintas formas de explotarla.

Seguir leyendo

El que usa software privativo no está respetando su libertad

Siempre ha sido un tema de discusión el tema de la propiedad intelectual, derechos de autor, etc, pero esta véz quiero referirme a algo más allá de eso: el Software Libre.
gnuNo hay que confundir el concepto de Software Libre con Open Source, el primero corresponde a toda una filosofía relacionada a las libertades de las personas y lo segundo, simplemente, a código abierto. Una aplicación puede ser open source sin ser libre. La gran diferencia entre uno y el otro es el tema de las licencias. Para que el software sea libre es necesario que se permita compartir, modificar y adaptar el código.

Usar software libre es bueno porque permite, entre otras cosas, manejar y controlar algo que es tuyo: tu computador y es por éste motivo que nace el dilema entre el hardware y los famosos drivers propietarios/privativos v/s los libres. Para muchas personas el hecho de no poder aprovechar los recursos de su hardware gracias a los drivers libres significa un problema y entonces es cuando deciden usar el driver propietario o privado. El otro día, pensaba que la única forma de promover y mejorar el desarrollo de drivers (o firmwares) libres desde las propios fabricantes es usar los drivres libres ya existentes. Estamos en un proceso de educación y difusión del software libres y de nuestras libertades, si queremos lograr que éste proceso avance debemos sacrificarnos un poco. Imaginemos un mundo ideal, donde todas las personas usan drivers libres y los fabricantes no encuentran qué hacer para que los usuarios compren sus productos, como no se puede exprimir al máximo los recursos del hardware, el usuario no va a necesitar continuar comprando y por ende, los fabricantes se verían obligados a desarrollar ellos mismos un driver que sea libre y que cumpla con todo lo necesario para poder funcionar correctamente. Obviamente, es una utopía.

Seguir leyendo

Microsoft no permite escribir correos hotmail con Firefox

Hace unas horas me he enterado que Microsoft no esta permitiendo a los usuarios de firefox linux redactar correos usando la plataforma hotmail (o live). Cuando ingresamos a nuestra cuenta y vamos a redactar un correo nuevo, nos permitira agregar el destinatario, escribir un subject pero al momento de querer introducir algun texto para enviar no lo permite, como si el textarea estuviese en modo disabled.

He consultado con algunas personas que usan Firefox en Linux y me comentan que les sucede lo mismo, por lo que no es un problema unicamente mio.