[INFO] Definicion de "vulnerabilidad"

Jose Manuel Tella Llop escribió:

http://www.cve.mitre.org/about/definition.html

Veo que ahora recurres a la lengua y la las definiciones para decir que
el "comportamiento" del IExplorer no es una vulnerabilidad :)
ya que a nivel técnico cometiste error tras error. Llegastes a decir
que el comportamiento del IExplorer se debía al cumplimiento de las
RFCs, lo que es todo un despropósito. Aun estoy esperando que
pases la referencia de la RFC donde se indica que el navegador
debe omitir en la barra de dirección la URL real cuando se precede
de cierto carácter :D (sin acritud, de verdad, es que tuvo gracia).

Aunque ya veo que vamos avanzando. Ahora ya hablas de "defecto",
pero sigues erre con erre en que no es vulnerabilidad. En cualquier caso
creo que al usuario le da igual como se le llame, lo que le interesa es
tener información de como "eso" (llamemosle defecto o vulnerabilidad)
puede afectarle.

Pero bueno, vamos a ver la página que comentas
http://www.cve.mitre.org/about/definition.html

The following guidelines, while imprecise, provide the basis of a "universal
vulnerability" definition. A universal vulnerability is a state in a
computing system (or set of systems) which either

allows an attacker to execute commands as another user
allows an attacker to access data that is contrary to the specified access
restrictions for that data
allows an attacker to pose as another entity
allows an attacker to conduct a denial of service

A mi particularmente me parece una definición muy simple y generalista,
que no recoge todas las vulnerabilidades, y da mucho juego a las
interpretaciones (debes tener mala suerte para argumentar excusas :)
El tercer punto considera vulnerabilidad en un sistema al estado que
"permite a un atacante hacerse pasar como otra entidad". Como
definición para el comportamiento del IExplorer le viene como anillo
al dedo ( http://www.hispasec.com/unaaldia/1904 )

Jose Manuel Tella Llop escribió:

Creo que (insito, "creo") que ciertas pagnas, incluida Hispasec, defomrna,

consciente

o inconsicientemente (me inclino a creer que conscientemente, porque no son

incultos)

a la opinion publica. Eso es lo que me cabrea y a veces, ciertas

paginas deben ser

tachadas de amarillistas solo por esta falta de rigor.

Bueno, no te "cabrees", no vale la pena, ya ves que no deformamos,
cumple perfectamente con la definición de vulnerabilidad :)
En todo caso, insisto, que más da llamarlo vulnerabilidad (que lo es),
o defecto. Lo importante es que el usuario conozca ese "comportamiento"
del IExplorer para evitar que puedan estafarle. Con respecto al
amarillismo, nuestros colores "corporativos" son el azul y el gris...
pero tomo nota por si algún día nos da por cambiar la imagen ;)

Y con este post me despido, por desgracia, por falta de tiempo,
no puedo seguir los interesantes hilos de estos foros. Considero
que no vale la pena discutir más el problema (que fue por lo
que entré), sobre todo cuando Microsoft, con buen criterio, está
a punto de corregir la vulnerabilidad/defecto :)

Muchas gracias a todos por vuestros comentarios y aportaciones.

Saludos cordiales,
Bernardo Quintero

Jose Manuel Tella Llop escribió:

http://www.cve.mitre.org/about/definition.html

Veo que ahora recurres a la lengua y la las definiciones para decir que
el "comportamiento" del IExplorer no es una vulnerabilidad :)
ya que a nivel técnico cometiste error tras error. Llegastes a decir
que el comportamiento del IExplorer se debía al cumplimiento de las
RFCs, lo que es todo un despropósito. Aun estoy esperando que
pases la referencia de la RFC donde se indica que el navegador
debe omitir en la barra de dirección la URL real cuando se precede
de cierto carácter :D (sin acritud, de verdad, es que tuvo gracia).

Aunque ya veo que vamos avanzando. Ahora ya hablas de "defecto",
pero sigues erre con erre en que no es vulnerabilidad. En cualquier caso
creo que al usuario le da igual como se le llame, lo que le interesa es
tener información de como "eso" (llamemosle defecto o vulnerabilidad)
puede afectarle.

Pero bueno, vamos a ver la página que comentas
http://www.cve.mitre.org/about/definition.html

The following guidelines, while imprecise, provide the basis of a "universal
vulnerability" definition. A universal vulnerability is a state in a
computing system (or set of systems) which either

allows an attacker to execute commands as another user
allows an attacker to access data that is contrary to the specified access
restrictions for that data
allows an attacker to pose as another entity
allows an attacker to conduct a denial of service

A mi particularmente me parece una definición muy simple y generalista,
que no recoge todas las vulnerabilidades, y da mucho juego a las
interpretaciones (debes tener mala suerte para argumentar excusas :)
El tercer punto considera vulnerabilidad en un sistema al estado que
"permite a un atacante hacerse pasar como otra entidad". Como
definición para el comportamiento del IExplorer le viene como anillo
al dedo ( http://www.hispasec.com/unaaldia/1904 )

Jose Manuel Tella Llop escribió:

Creo que (insito, "creo") que ciertas pagnas, incluida Hispasec, defomrna,

consciente

o inconsicientemente (me inclino a creer que conscientemente, porque no son

incultos)

a la opinion publica. Eso es lo que me cabrea y a veces, ciertas

paginas deben ser

tachadas de amarillistas solo por esta falta de rigor.

Bueno, no te "cabrees", no vale la pena, ya ves que no deformamos,
cumple perfectamente con la definición de vulnerabilidad :)
En todo caso, insisto, que más da llamarlo vulnerabilidad (que lo es),
o defecto. Lo importante es que el usuario conozca ese "comportamiento"
del IExplorer para evitar que puedan estafarle. Con respecto al
amarillismo, nuestros colores "corporativos" son el azul y el gris...
pero tomo nota por si algún día nos da por cambiar la imagen ;)

Y con este post me despido, por desgracia, por falta de tiempo,
no puedo seguir los interesantes hilos de estos foros. Considero
que no vale la pena discutir más el problema (que fue por lo
que entré), sobre todo cuando Microsoft, con buen criterio, está
a punto de corregir la vulnerabilidad/defecto :)

Muchas gracias a todos por vuestros comentarios y aportaciones.

Saludos cordiales,
Bernardo Quintero

...Fuera de eso todas son solo "Interpretaciones" personalizadas...

Esto hblando de W'XP?

Esto hablando de INFORMATICA??

Esto hablando de LINGÜISTICA?

Este foro de que TRATA?

En fin como tu dices solo "Interpreataciones personalizadas"


Saludos

...Fuera de eso todas son solo "Interpretaciones" personalizadas...

Esto hblando de W'XP?

Esto hablando de INFORMATICA??

Esto hablando de LINGÜISTICA?

Este foro de que TRATA?

En fin como tu dices solo "Interpreataciones personalizadas"


Saludos

err, lo siento pero no se lo que quisiste decir (Preguntar?)


Saludos
Mr Big Dragon


"" <joadom AT iespana DOT es> wrote in message
news:%

...Fuera de eso todas son solo "Interpretaciones" personalizadas...

Esto hblando de W'XP?

Esto hablando de INFORMATICA??

Esto hablando de LINGÜISTICA?

Este foro de que TRATA?

En fin como tu dices solo "Interpreataciones personalizadas"


Saludos