5.1.1. —perdido, buscando el diseño ideal

Firefox y Opera: GET antiphishing

Headers enviados por el sistema anti fraude.

Aunque me han ganado en parte de mano: Comparación de los sistemas anti-phishing (Navegadores.org), quería comentar un detalle un poco más profundo sobre los sistemas de antiphishing de Firefox 2 y Opera 9. Mi preocupación era ver qué tan transparentes son ambos navegadores con respecto a los datos que envían y reciben —las comprobaciones se hacen enviando pedidos GET a cada servidor.

Para Firefox, la prueba es con Gecko/20061010 Firefox/2.0 y para Opera, Build 8629 (primera weekly build de Opera 9.1).

En ambos casos, borré el cache del navegador. El sitio elegido fue Paypal, uno de los que más importantes en este tema (más no sea por ser uno de los más usados para engañar).

Firefox 2 + Google

Una curiosidad sobre la comprobación en Firefox es que el momento exacto para hacer el pedido parece ser aleatorio; en algunas pruebas, lo realiza recién cuando la página completa fue descargada —esto incluye imágenes—, en otras cuando se había realizado ya una parte de la descarga, e incluso ha llegado a hacerlo casi un minuto después de finalizada la descarga. Aclaro que también envía las cabeceras Accept*.

  • GET /safebrowsing/update?client=navclient-auto-ffox2.0&mozver=1.8.1-2006101023&version=goog-white-domain:1:17,goog-white-url:1:371,goog-black-url:1:6832,goog-black-enchash:1:12259 HTTP/1.1
  • Host: sb.google.com
  • User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-AR; rv:1.8.1) Gecko/20061010 Firefox/2.0
  • Cookie: PREF=ID=27bd22dc7aceebc9:TM=1161828071:LM=1161828071:S=u6IgBXR4T-j2IxvJ

2 veces envía la identificación del navegador; una como parámetro y la otra con la cabecera User-Agent. También se guarda una cookie, posiblemente para evitar realizar una segunda comprobación; la cookie expira en el 2038. No realiza una segunda comprobación cuando se recarga una página.

La respuesta de Google es un archivo de texto plano con un texto ilegible.

Opera 9.1

A diferencia de Firefox, Opera envía el pedido de comprobación apenas recibe la primera respuesta del servidor a visitar —esto no significa que se detenga a esperar el resultado de la comprobación; Opera sigue descargando la página.

  • GET /?host=www.paypal.com&ph=/8KM+CoDkJAWfE/d6Yq8rg==&hdn=SAvRevv/N3o+KVoXJ+ySiA== HTTP/1.0
  • Host: sitecheck.opera.com
  • User-Agent: Opera/9.10 (Windows NT 5.1; U; en)
  • Referer: http://sitecheck.opera.com/?host=www.paypal.com&ph=/8KM+CoDkJAWfE/d6Yq8rg==&hdn=SAvRevv/N3o+KVoXJ+ySiA==

No hay cookie pero curiosamente sí Referer; además los parámetros incluyen la raíz de la URL del sitio.

Desde el servidor de Opera, la respuesta es un archivo XML. Este archivo es guardado mientras dura la sesión.

En caso de clickear sobre la letra i (o el signo de pregunta, según el sitio) que aparece en la barra de direcciones, se abre otra ventana con información sobre lo confiable de la página. En este momento se realiza otra petición:

  • GET /info/?host=www.paypal.com&hdn=480bd17afbff377a3e295a1727ec9288&site=www.paypal.com/ HTTP/1.0
  • Host: sitecheck.opera.com

En este caso, devuelve un documento HTML con la confiabilidad de Paypal según Geotrust.

Publicado el 26 de octubre de 2006 en las categorías Firefox, Opera

2 comentarios. Agregá el tuyo →

Comparación de los sistemas anti-phishing, Navegadores.org

[…] Actualizado: Federico realiza un análisis más a fondo en los métodos de Opera y Firefox+Google … ¿no hay, en definitiva, ningún método transparente? Leer su artículo sobre antiphishing en Opera y Firefox. 4 ComentariosRSS de los comentarios de esta entrada. TrackBack URI […]

26 de octubre de 2006

Denken Über » Week-log.196

[…] - Celularis me sorprendió la encuesta de ¿que móvil tienen los bloggers? por como Sony Ericsson apareció de golpe - Juan Freire y el Project Blackbox realmente sigo sorprendido de como lo armaron. - SigT y algunas Curiosidades sobre los blogs tecnológicos… durisimo :P - El Diablo en los Detalles y las 8000 - 9Rules logró que se borre el logo pero Toyota no reconoce nada - Buenos dí­as, Silicon Valley y una de las extensiones que pocos miran con atención pero que puede llegar a ser vital para tu privacidad en Google - Ogeid y algo que me está sorprendiendo… la cantidad de hardcore coders que están migrando a MAC (además de Linux) - EnterToTheMatrix y un accesorio de iPod de PRIMERA NECESIDAD - ALT1040 y algo que me da un poco d bronca… porque nunca pude viajar en uno :( - Andrés resumió la mesa más interesante de MKTG2.0 - eleZeta y mis FELICITACIONES porque Foto-Blogs.com.ar ganó el premio Mate.ar pyme 2006 - Blog de Viajes con la pelea para dejar de construir torres en Caballito.. y eso que no llegamos al extremo de Madrid - ALT1040 con los 5 mejores sitios de torrents - Pablo y su “basta de cables!” - Duopixel con datos y explicaciones acerca de como no-dormir… pero macho, con lo lindo que es un buen sueño :P - Tecnorantes presenta Feerinse, para evitar esa “intoxicación” de leer el mismo tema una y mil veces - Federico compara los headers de los “sistemas antiphishing” de los browsers - Isopixel con algunos consejos para ser un Freelance exitoso - Gramcono y un post GENIAL sobre los Microformatos - html life tiene días malos… y eso que está en una Mac ;) - DefMay publica uno de esos mails extraños y bizarros que te llegan cuando uno tiene un site… un dia tendría que empezar a publicar algunos comentarios que la gente deja pensando que un blog es… la verdad ni idea que piensan a veces :P […]

28 de octubre de 2006

Agregá tu comentario

Agregá tu comentario

© Federico Martín Panicobpm230 (arroba) gmail (punto) com