Firefox, contra los ataques XSS


La Fundación Mozilla está preparándose para adoptar un nuevo estándar que ayudará a evitar ataques Cross Site Scripting (XSS) en su sitio web. El estándar, denominado Content Security Policy, podría ser la solución a estos ataques, y permite a un sitio web especificar qué dominios de Internet están permitidos a la hora de almacenar scripts que se ejecutan en sus páginas. Esto rompe la tendencia convencional en la que los navegadores consideran todos los scripts de la misma forma.





La Fundación Mozilla ha elegido este estándar porque entre otras cosas permite a los sitios web elegir si quieren adoptar esas restricciones, algo que pone en manos de ambas partes la puesta en marcha de un mecanismo que podría evitar parte de los ataques XSS, los más frecuentes en la Red de redes a la hora de hackear todo tipo de sitios web, tal y como indican en Technology Review.

Brandon Sterne, uno de los encargados de la infraestructura de seguridad en Mozilla, afirmaba en el blog de la empresa dedicado a este tema que "la gravedad del problema de los ataques 'salvajes' XSS y el coste de implementar CSP como una forma de mitigarlos están abiertos a su interpretación por parte de sitios individuales", confirmando esa capacidad de decisión de los sitios web a la hora de poner en marcha el estándar Content Security Policy.

La medida de seguridad se ha desarrollado en base a sugerencias realizadas por el especialista en seguridad web Robert Hansen, que ya habló del tema en 2005. Este investigador había estudiado varios tipos de ataques web e identificó una posibilidad interesante: dejar a los sitios web que cambiaran el nivel de seguridad del navegador del usuario.

La nueva característica de seguridad de Firefox podría ayudar también a bloquear los ataques de clickjacking, que también se están haciendo tristemente popular entre los hackers.

No obstante, no todos están de acuerdo con la opinión de Mozilla respecto a la validez del estándar. Microsoft, por ejemplo, ha creado un filtro contra los ataques XSS en Internet Explorer 8 que bloquea los posibles ataques y evita que alcancen al navegador de la víctima. Para ello ha usado una característica llamada x-frame-options en IE8 que puede ser utilizada por sitios web para restringir el uso de scripts en iframes, un truco habitual de los atacantes.

Esto hace que de momento sea complicado aventurar si CSP se implementará en otros navegadores que no sean Firefox, aunque habrá que ver cómo se desarrollan los acontecimientos.

Fuente:
Por: David Martín
http://muycomputer.com



Otras noticias de interés:

Vulnerabilidad Silenciosa << cookies >> en Flash
En el siempre recomendable 503 Service Unavailable, he encontrado hoy una nota interesante sobre un tema que desconocía. Resulta que el plugin para poder visualizar Flash en nuestro navegador tiene la curiosa característica de almacenar en nuestro ...
Primer Evento de la Comunidad OpenStack 24 de agosto de 2013
OpenStack Venezuela: Es un Grupo Venezolano dedicado a compartir sus conocimientos y experiencias en OpenStack (Software de Cloud basado en código abierto), capaz de entender los conceptos de computación en la nube, hacer implementaciones basadas e...
Varios Bugs en Windows XP SP2
Dos fallos recientemente detectados, podrían permitir que escritores de virus y piratas informáticos, eludan algunas de las nuevas características de seguridad implementadas en el flamante Service Pack 2 de Windows XP, afirman unos investigadores ...
Novell adquiere SuSE Linux
Novell ha llegado un acuerdo para la adquisición de SuSE Linux, que le permitirá ampliar su catálogo de servicios y soporte para la plataforma Linux. Con la experiencia de SuSE en código abierto y las soluciones de conectividad e identidad de Nov...
Fedora y Red Hat presentan nueva plataforma Linux
Red Hat anunció el 19 de noviembre la disponibilidad de Fedora Core 1, el primer lanzamiento de software de Fedora Project....
Expertos advierten sobre la seguridad en Adobe - AIR
AIR (Adobe Integrated Runtime), es una tecnología gratuita que permite la creación de aplicaciones interactivas de escritorio basadas en HTML, Ajax, Flash y otras herramientas del tipo Web 2.0. ...
Cuantificación de las vulnerabilidades en los diferentes sistemas operativos
Un análisis de las vulnerabilidades de seguridad publicadas y los ataques registrado durante el año 2002 revela cuales son los sistemas operativos con más vulnerabilidades y que reciben más ataques....
La seguridad de contraseñas es buena pero...
El nivel de la seguridad con las contraseñas actuales es correcto, pero es necesario mejorar. Los usuarios deben concienciarse del peligro potencial y de las consecuencias cuando la contraseña de seguridad se ve comprometida, según un investigador...
Windows 7 RC, es vulnerable a una falla antigua.
Recientemente apareció la versión Release Candidate de Windows 7, y muchas personas empezaron con el analisis y vertiendo opiniones al respecto. F-Secure revela un despiste que deberían corregir la gente de Mircosoft antes de lanzar la versión fi...
Las redes mal configuradas causan los mayores agujeros de seguridad
Una red mal configurada es a menudo la causa de las brechas de seguridad, según una encuesta de hábitos de hacking que se ha publicado recientemente....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataques
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra
  • xss