Se debe confiar en la barra de estado?

By [Z]tuX
Published on 20:39 at , ,
Muchas veces nos acostumbramos a ver la barra de estado en el preciso momento en el que ponemos el cursor del mouse encima de algún enlace, esto para verificar la veracidad de algún sitio web.

En este artículo (basado en un artículo original de Dr. White) pretendo mostrarles que este "metodo de seguridad" no es muy seguro gracias a Javascript!
Si eres un programador novel, puedes seguir este artículo, pues está hecho con la finalidad de que todos lo comprendan a la perfección.

La manera de ingresar un enlace en una página web es la siguiente:
Mundo Hacking

Lo que daría como resultado en la barra de estado al poner el cursor del mouse sobre el enlace lo siguiente:

El codigo anterior era un simple enlace, que al poner el cursor del mouse encima del enlace nos mostraría en la barra de estado "http://www.mundohacking.com" y al hacer click sobre el mismo, nos llevaría a Mundo Hacking...

Pero... Que pasaría si utilizamos los 2 eventos cuando se hacen click sobre algún enlace? (me refiero a: 1- Presionar el mouse... 2- Soltar el mouse)

Utilizando el this.href (evento propio del href) podemos hacer las cosas un poco más interesantes!


Ir a Google

Que pasa con este código? Algo interesante! Tenemos un enlace que originalmente nos llevaría a Google.com, si ponemos el cursor del mouse encima del enlace nos muestra en la barra de estado que verdaderamente nos mandará a Google.com, en realidad que pasaría si le damos click? Correcto! Nos trae a Mundo Hacking. A este código le faltan unas cositas para que sea "perfecto", pues si no le das click al enlace para que te lleve a donde debería, sino que le das click para arrastrar el enlace puedes notar en la barra de estado como cambia a "http://www.mundohacking.com", esto se debe a que el evento onmousedown() fue ejecutado en el momento de haber dado click al enlace sin que éste nos direccionara a la web que debía.

Que pasaría si cambiamos la palabrita "onmousedown" por "onmouseUP"?
Cada vez que el usuario ponga el cursor del mouse encima del enlace nos mostrará el mismo enlace, al darle click nos llevará a la página falsa, ejemplo:


Ir a Google.com


De esta forma siempre en la barra de estado nos mostrará "http://www.google.com" (así sea para arrastrar el enlace como el anterior). Pero que pasa cuando le damos click al enlace? Nos lleva a MundoHacking.com.

Esta técnica puede ser utilizada para muchas cosas, la nombrada en el artículo original es el phishing usando el siguiente ejemplo:


Descarga la Nueva Versión de MSN 100.0.0.0.2 xD


Creen que alguien caería en el enlace? Yo pienso que si!

Articulo original de Jeferx!!
edit post

Comments

0 Response to 'Se debe confiar en la barra de estado?'

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)