Guest Join UsHola invitado,
Bienvenido a los foros de Mac-Club.
Grupo de chalados que hablan de cualquier cosa y de los que
algunos, además y para más inri, son usuarios de Macintosh
Hasta que no te registres, partes de estos foros no te serán accesibles
o Crear una cuenta


Calificación:
  • 0 voto(s) - 0 Media
  • 1
  • 2
  • 3
  • 4
  • 5
Agujero grave en Tiger (Wired News)
#1
Parece que Dashboard es ademas de novedoso un poco peligroso, es el precio de la innovación, pero desde Wired se señala que Apple era consciente de esto y eso si me parece muy grave.

Justo ahora que voy a incorporar a mi LAN casera un Mac y el Tiger me sale rana el invento, ya me veo con el Panther y el OS9.

Se agradecera que los foreros que esten experimentando con el Tiger nos cuenten sí los widgets que se instalan por defecto con el mismo les dan problemas o han observado alguna actividad rara en sus Macs o el módem (exceso de actividad al navegar con Safari,étc). Mejor aprender en Mac ajeno...!!

Os dejo el enlace a la noticia en Wired.


http://www.wired.com/news/mac/0,2125,67484,00.html
Responder
#2
El artículo dice que Dashboard podría suponer un agujero de seguridad, no que el mac esté abierto.

Se refiere a que Apple ha hecho los widgets autoinstalables, es decir, te vas a un sitio de internet donde hayan widgets, clicas el enlace de uno de ellos y Safari te lo baja y te lo instala todo en uno.
Ahí es donde podría haber el agujero de seguridad si alguien consigue explotar esa característica de autoinstalación para colocar cosas maliciosas en la máquina en lugar de widgets.
Claros que si lo que se instala no es un widget, el sistema le pedirá una password de administrador al usuario antes de instalarse nada.

Pero podría ser que un widget hiciese mas cosas de las que se espera de el (widget maliciosamente programado) y como se instala sin pedir contraseña, ese es el agujero.
Pero en todo caso, ese widget solo dospondría de los privilegios de usuario y como ya sabemos todos los usuarios de Mac, siempre hay que usar el ordenador desde una uenta sin privilegiuos de administración, y eso es lo que hacemos todos ¿no?

No obstante, todo lo anterior puedes cerrarlo de un plumazo si no utilizas la opción de autoinstalación de widgets y los descargas sin permitir autoinstalar.

Por otra parte, el artículo es un poco alarmista ya que dice que no es fácil desinstalar ls widgets ya que no se pueden borrar directamente de la barra de widgets., realmente no es difícil, basta con ir a la carpeta Libería/Windgets y tirar a la papelera los que no se deseen.
Principio de Hanlon:
«Nunca le atribuyas a la maldad lo que puede ser explicado por la estupidez»
Responder
#3
Alberto me dejas mas tranquilo, de todas formas seguro que alguien travieso nos programa un widget malintencionado y apetitoso este mismo verano y que mas de uno y de dos se lo instalan.

Yo ya se que que en este tipo de SO la cosa para estos chiquillos inquietos es mas dura pero no los subestimes, el Tiger y el iPod han vuelto a poner de rabiosa actualidad en USA a la marca de la manzana entre los adolescentes y estos a su vez han dado vacaciones escolares el pasado fin de semana.

Así comienzan los desastres de seguridad, con fallos potenciales que se pueden explotar y lo mas alarmante es que Apple no da respuesta al aluvión de preguntas sobre el tema, pensaran que es de un alarmismo innecesario lo referente a esto... así es hoy día la prensa, todo lo magnifica.

Salu2.
Responder
#4
Yo creo que el problema radica en que con la incorporación de Dashboard en Tiger, los widgets al ser aplicaciones (casi scripts) muy pequeñas y fáciles de programar, van a proliferar como champiñones cuando llueve. Y ahí está el peligro, habrá mucha gente que dada la facilidad de programación, puedan diseñar Widgets que además de cosas no dañinas (incluso útiles) oculten otros aspectos mas maliciosos.

Es cierto que para hacer daño al sistema operativo necesitas autorización de administrador, pero una vez que aceptamos instalar (con password) el widget, éste ya no necesita autorización para, por ejemplo, espiar toda la información que se encuentra en la carpeta de usuario (carpeta Documentos, etc). En estas carpetas puede haber información "sensible" como datos bancarios, passwords, etc. Estos datos podrían "escapar" fuera si no tienes cuidado con los ajustes del firewall (y no todo el mundo lo tiene). Sería aconsejable que se tuviese instalado alguna aplicación como por ejemplo "Little Snitch" para controlar que aplicaciones intentan comunicarse con el exterior sin nuestro permiso.

Estoy de acuerdo que de momento es un poco alarmista, pero el peligro "potencial" es alto, sobre todo si no se toman medidas para evitar que se explote esta vulnerabilidad (hay por ahí mucha gente inteligente y con mucho tiempo libre). Una posibilidad sería algún "filtro" (¿?) que revisara los widgets antes de instalarlos, para asegurarse que no contienen nada "sospechoso".

Ya veremos.

Saludos,
__Onuba__     Cool
Responder
#5
Cita:Alberto me dejas mas tranquilo, de todas formas seguro que alguien travieso nos programa un widget malintencionado y apetitoso este mismo verano y que mas de uno y de dos se lo instalan.
Fijo que lo van a hacer. Simplemente porque es un reto. Sin ir más lejos, uno de mis primeros programas fue un virus, inofensivo donde los haya, pero virus al fin y al cabo (eso sí, para el güindous de mocosoft, que todavía hay clases ;-). Aprendes a colarte en el subsuelo del sistema y es divertido. Finalmente, siempre hay algún Annakin que acaba pasándose al lado oscuro...

Mariano (que finalmente ha pasado por el Applestore y ha adquido un flamante Tiger)
Responder
#6
Cita:En estas carpetas puede haber información "sensible" como datos bancarios, passwords, etc. ,
Bueno, si procuramos tener todas las passwords en el llavero, no veo como el Widget pueda acceder a las llaves sin nuestro permiso.

Para prevenir todo lo demás hay una cosa muy interesante en Mac Os X llamada FileVault...
Principio de Hanlon:
«Nunca le atribuyas a la maldad lo que puede ser explicado por la estupidez»
Responder
#7
Cita:
Onuba escribió:En estas carpetas puede haber información "sensible" como datos bancarios, passwords, etc. ,
Bueno, si procuramos tener todas las passwords en el llavero, no veo como el Widget pueda acceder a las llaves sin nuestro permiso.

Para prevenir todo lo demás hay una cosa muy interesante en Mac Os X llamada FileVault...
Alberto, ten en cuenta que en lo que respecta a seguridad, no todo el mundo usa el sentido común (que desgraciadamente no es el más común de los sentidos Big Grin). De hecho, como tu bien sabes, aún hay gente (mucha) que no sabe como se usan las "llaves" del MacOS. Por otra parte, si les preguntas a los usuarios de mac que para que sirven las "llaves" te dirán que para guardar passwords, pero NO para guardar otras informaciones no directamente relacionadas con el ordenador, como por ejemplo datos bancarios, o similares. a eso me refería con información sensible. Estamos hablando del usuario medio que carece de conocimientos informáticos y usa el ordenador de forma despreocupada (por eso usan Macs Smile).

Y con respecto a Firevault, aunque la idea es interesante, no es algo que deba usar rutinariamente un usuario medio como el que he descrito antes. Además, personalmente creo que encriptar-desencriptar toda la carpeta del usuario es un riego innecesario y además enlentence el uso normal del ordenador. A menos que trabajes en una compañia con muchos datos confidenciales y no te fies ni de tu compañero de mesa, no creo que sea práctica. Para un usuario medio, sería más util guardar los datos delicados en una carpeta comprimida con stuffit y protegida con contraseña, o usar alguna pequeña aplicacion para encriptar directamente esa carpeta.

En conclusión, creo que el riesgo potencial es para el usuario medio y despreocupado (muuucha gente) y no para usuarios experto y cuidadosos —como nosotros :lol::lol::lol: —

Saludos,
__Onuba__     Cool
Responder
#8
Cita:En conclusión, creo que el riesgo potencial es para el usuario medio y despreocupado (muuucha gente) y no para usuarios experto y cuidadosos —como nosotros :lol::lol::lol: —

Saludos,
Pero todo el mundo sabe que hay que llevar la moto con casco.
Así que si uno no lleva casco y se casca el cráneo, no puede culpar a la moto sino a su falta de casco en la closca.
Smile

Yo guardo en el llavero hasta el número de zapatos que calza Fidel Castro que, como todo el mundo sabe, es un secreto absoluto.

Y en cuanto a FileVault, yo no concibo un portátil que no lo utilice.
Hay muchas más posibilidades de perder o que le roben a uno el Mac que de que alguien entre desde fuera y deje un gusano que se lleve algo.
Incluso en casa, que también entran a robar ordenadores.
Principio de Hanlon:
«Nunca le atribuyas a la maldad lo que puede ser explicado por la estupidez»
Responder
#9
Cita:Pero todo el mundo sabe que hay que llevar la moto con casco.
Así que si uno no lleva casco y se casca el cráneo, no puede culpar a la moto sino a su falta de casco en la closca.
Smile
Alberto, tu defensa de los widgets es tan vehemente que creo que sólo nos queda preguntarte:

¿los programaste tú?

:lol::lol::lol:

Mariano
Responder
#10
Cita:¿los programaste tú?

:lol::lol::lol:

Mariano
Todos no.

Smile
Principio de Hanlon:
«Nunca le atribuyas a la maldad lo que puede ser explicado por la estupidez»
Responder


Posibles temas similares...
Tema Autor Respuestas Vistas Último mensaje
  problemas para instalar tiger alpepone 2 6.300 23-05-2016, 18:44
Último mensaje: ezmac
  pasar de tiger a snow leopard novatenric 3 5.055 04-02-2012, 18:16
Último mensaje: Larita
  ¿ Es grave doctor ? Raya en la pantalla de mi iMac :( macnuel 21 30.393 24-12-2011, 00:21
Último mensaje: jesusgranados
  Pasar de Tiger a Snow Leopard chus 14 11.999 03-11-2011, 14:44
Último mensaje: chus
  Idioma en Office 2004 al pasar de Tiger a SLeopard grumetillo 8 8.223 01-05-2011, 09:11
Último mensaje: grumetillo

Salto de foro:


Usuarios navegando en este tema: 1 invitado(s)


Acerca de Los foros de Mac-club

Grupo de chalados que hablan de cualquier cosa y de los que algunos, además y para más inri, son usuarios de Macintosh

Para más información usa el formulario de contacto

              Tus enlaces

              En obras