Hace unos cuantos días hemos comentado acerca de una vulnerabilidad en Firefox que posibilitaba ataque de phishing al poder inyectar código en about:blank, la página en blanco por defecto de Firefox. Este caso fue descubierto por Zalewski e incluso dejó a disposición la siguiente demostracón:
http://lcamtuf.coredump.cx/ffblank/
La diferencia con IE7 y Opera 9 es que estos últimos al menos muestran la barra de direcciones adjunta a las ventanas emergentes. En el caso de Firefox no sucede lo mismo.
Una solución para esto sería prevenir que se pueda ocultar la barra de direcciones para todo sitio web. Para esto realizamos lo siguiente:
- En la barra de direcciones, escribimos ‘about:config‘ y damos Enter para ir a la configuración de Firefox
- Buscamos la clave ‘dom.disable_window_open_feature.location‘ y le cambiamos el valor a True
Esto hará que todas las ventanas emergentes o popups muestren sí o sí la barra de direcciones adjunta, como en la siguiente imagen:
Tal vez no sea lo más elegante, pero aporta mayor seguridad ya que aunque el resto de la ventana nos pretenda engañar, la barra de direcciones siempre nos dirá en que sitio estamos verdaderamente.
