Firefox, contra los ataques XSS


La Fundación Mozilla está preparándose para adoptar un nuevo estándar que ayudará a evitar ataques Cross Site Scripting (XSS) en su sitio web. El estándar, denominado Content Security Policy, podría ser la solución a estos ataques, y permite a un sitio web especificar qué dominios de Internet están permitidos a la hora de almacenar scripts que se ejecutan en sus páginas. Esto rompe la tendencia convencional en la que los navegadores consideran todos los scripts de la misma forma.





La Fundación Mozilla ha elegido este estándar porque entre otras cosas permite a los sitios web elegir si quieren adoptar esas restricciones, algo que pone en manos de ambas partes la puesta en marcha de un mecanismo que podría evitar parte de los ataques XSS, los más frecuentes en la Red de redes a la hora de hackear todo tipo de sitios web, tal y como indican en Technology Review.

Brandon Sterne, uno de los encargados de la infraestructura de seguridad en Mozilla, afirmaba en el blog de la empresa dedicado a este tema que "la gravedad del problema de los ataques 'salvajes' XSS y el coste de implementar CSP como una forma de mitigarlos están abiertos a su interpretación por parte de sitios individuales", confirmando esa capacidad de decisión de los sitios web a la hora de poner en marcha el estándar Content Security Policy.

La medida de seguridad se ha desarrollado en base a sugerencias realizadas por el especialista en seguridad web Robert Hansen, que ya habló del tema en 2005. Este investigador había estudiado varios tipos de ataques web e identificó una posibilidad interesante: dejar a los sitios web que cambiaran el nivel de seguridad del navegador del usuario.

La nueva característica de seguridad de Firefox podría ayudar también a bloquear los ataques de clickjacking, que también se están haciendo tristemente popular entre los hackers.

No obstante, no todos están de acuerdo con la opinión de Mozilla respecto a la validez del estándar. Microsoft, por ejemplo, ha creado un filtro contra los ataques XSS en Internet Explorer 8 que bloquea los posibles ataques y evita que alcancen al navegador de la víctima. Para ello ha usado una característica llamada x-frame-options en IE8 que puede ser utilizada por sitios web para restringir el uso de scripts en iframes, un truco habitual de los atacantes.

Esto hace que de momento sea complicado aventurar si CSP se implementará en otros navegadores que no sean Firefox, aunque habrá que ver cómo se desarrollan los acontecimientos.

Fuente:
Por: David Martín
http://muycomputer.com



Otras noticias de interés:

- Suplantación de usuarios en Hotmail -
Las vulnerabilidades del tipo Cross-Site Scripting se producen al no filtrar de forma adecuada las URLs o el código HTML, permitiendo que un tercero pueda inyectar comandos que se ejecutarán en el sistema del usuario al visualizar la página web....
Microsoft corrige 14 vulnerabilidades en PowerPoint
Este martes pasado Microsoft ha publicado sólo un boletín de seguridad (el MS09-017) correspondientes a su ciclo habitual de actualizaciones. Esta actualización que corrige un total de 14 vulnerabilidades presenta, según la propia clasificación ...
Diez claves de seguridad para redes sociales
Stonesoft ha elaborado una lista con las que considera las 10 claves de seguridad que cualquier usuario debe tener en cuenta para protegerse de los peligros que acechan a las redes sociales....
Malware navideño a través de Twitter
Como no podía ser de otra forma, los ciberdelincuentes están aprovechando la época prenavideña para distribuir el malware y principalmente lo están haciendo a través de Twitter, aprovechando trend topics como Advent Calendar o Grinch....
Los grandes contra la Ley #SOPA
El gobierno de Estados Unidos estudia la aprobación de una nueva ley para luchar contra la piratería que especifica el cierre inmediato de los sitios web infrinjan los derechos de autor y obliga a todos los buscadores a rastrear y monitorizar los c...
Symantec admite que fue hackeada
Symantec se ha retractado de declaraciones anteriores en relación con el robo del código fuente de algunos de sus principales productos de seguridad, y ahora admite que su propia red se ha visto comprometida....
Nueva vulnerabilidad en QuickTime y el protocolo RTSP
Apple QuickTime contiene una vulnerabilidad del tipo desbordamiento de búfer, la cuál puede permitir a un atacante remoto provocar una denegación de servicio, con posibilidad de ejecución arbitraria de código. ...
Violación de privacidad, principal amenaza para el 2012
Luis Corrons, director técnico de Panda Labs, dice que vivimos en un mundo en el que toda la información está en formato digital y ya no es necesario entrar en una instalación sino sólo tener ciertas habilidades para poder acceder a los secretos...
Vulnerabilidad en Internet Explorer al imprimir páginas
El investigador Aviv Raff ha descubierto un nuevo agujero de seguridad en Internet Explorer que permitiría a un atacante ejecutar programas arbitrarios, aunque la intervención del usuario es necesaria. ...
Facebook, tu perfil es importante para no$otro$
Gracias a la gente de linux-os.com.ar que informó sobre este interesante vídeo donde exponen que hace Facebook con la información de sus usuarios. Vale la pena darle una mirada solo dura 7 minutos....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataques
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra
  • xss