don’t click (clickjacking en twitter)

Hoy la curiosidad lleno twitter de mensajes don’t click y el enlace de una misteriosa url con un simple botón.

No era más que un iframe que ocultaba hábilmente el botón de update de la página de twitter, y si pulsabas estando logeado en tu cuenta de twitter mandabas el mensaje «don’t click [y la dichosa url del boton]» como actualización de estado. Así que otros incautos followers tuyos lo vería de nuevo y propagarían el clickjacking.

En ajaxiam explican como lo hicieron.


iframe { position:absolute;width:550px;height:228px;top:-170px;left:-400px;z-index: 2;opacity: 0;filter: alpha(opacity=0); }
button { position:absolute;top:10px;left:10px;z-index:1;width: 120px; }

Un par de líneas para comprende lo sencillo que fue aprovechar la actualización de status para propagarse. Una simple visita con el firebug lo delata.

Y por cierto, al estar acortada con una tinyURL ya ha sido bloqueada por uso inapropiado. http://tinyurl.com/amgzs6

Experimentando con wordpress 2.5

actualizar wordpress 2.5

Tengo que actualizar este blog con WordPress 2.5. He probado actualizando otro de mis blogs con WordPress 2.5 y se ve bastante bien. Quiero hacer antes unas pruebas en local, pero la verdad es que me ha sorprendido el cambio sobre todo de diseño de la herramienta. Trabajando haciendo CMS adhoc se aprecian más esos detalles, lástima que ya este practicamente cerrado el diseño de la aplicación que he estado desarrollando, pero la próxima si la hago, posiblemente en PHP, se inspirará bastante en lo nuevo de WordPress 2.5.

Hasta entonces seguiré experimentando.

Para los que queráis actualizar vuestro blog os recomiendo esta herramienta automatica para pasar de una versión antigua a la nueva. WordPress Automatic Upgrade. Visto en Genbeta (¿donde si no?)

Twitter y el blog

Ayer estuve probando colocar de tagline las actualizaciones que hago en twitter. Opté por ponerlas en en menú lateral. Esto no es definitivo, tengo que rediseñar el sitio.
Otra noticia es que cree el subdominio labs para pruebas y demás proyectos.

Durbon también «reinicia»

durbonDurbon también reinicia, hablo del diseño. Más que reiniciar, unos retoques, la verdad que este diseño no me disgusta. Tiene fallos o cosas a mejorar, pero aún no me he cansado de él.

ReiniciaEl boletín que me han mandado esta tarde los chicos de cssReinicia recordaba los 15 días que quedan para el Reinicio global. Y yo aún sin un diseño. Ni dibujado en un papel y, por supuesto, aún sin una línea de código escrita. Pero tengo un buen libro de CSS, uno profesional, nada de «aprenda css fácilmente». ¡Qué uno ya tiene una buena base, por favor!

15 días para el reinicio, y me piro a Cantabria y Asturias. A la vuelta con un poquito de presión( y suerte) tendremos listo el diseño. Intentaré no darme muchos cabezazos con el teclado intentando que cumpla las normas W3C.