Vectores de ataque del HTML 5


Las últimas versiones de la mayoría de los navegadores que conocemos (IE, Firefox, Safari, Chrome y Opera) incorporan ya la posibilidad de usar las nuevas etiquetas y propiedades de HTML5, pero como cada uno lo implementa a su manera, pueden aparecer “bugs”, más propios del navegador que lo implementa, que del lenguaje en si.





¿Dónde está el peligro?

Parte del peligro radica en que se delegan ciertas comprobaciones de seguridad al desarrollador web, y como todos los que estamos en esto sabemos, lo urgente nunca deja tiempo a lo importante. Esto me recuerda cierta frase que escuché hace algún tiempo, cuando un desarrollador web se excusaba por un fallo grave de seguridad: “A nosotros nos han dicho que funcione, no que sea seguro”.

Cross-Document Messaging

HTML5 integra una nueva API llamada postMessage que permite a un script de un dominio, pasar datos a uno que corre en otro (HTML 4 no permite que páginas de midominio.com pase datos a páginas/scripts que estén en tudominio.com). Para asegurar que las peticiones no son maliciosas, postMessage incluye varias propiedades, que el desarrollador puede usar para verificar el origen de la petición, pero este chequeo no es obligatorio pudiendo dejar scripts expuestos a peticiones maliciosas.

Local Storage

Desde HTML5, se puede acceder a una base de datos local SQL. Este almacenamiento offline (y en local) puede acelerar notablemente las aplicaciones web, especialmente si estas necesitan un acceso a datos constante. Está claro que no todo son ventajas, y como muestra de ello, leer el post de Jose Miguel Holguín en este mismo blog (evercookie never forget), en el que nos detalla como usar esta característica para fijar cookies de navegador de manera persistente.

Nuevas etiquetas

Gran parte de la funcionalidad multimedia que en HTML4 proporcionaban los plugins de terceros, se pueden usar ahora de forma nativa (<audio>, <video> y <svg>), sin necesidad de éstos, que consumen recursos extra y, en ocasiones, causan inestabilidad en el navegador. Este paso delega en los navegadores la implementación de esos elementos, que resulta en posibles “bugs” explotables.

Nuevos atributos

En esta nueva especificación tenemos nuevos atributos muy interesantes, que nos pueden aportar grandes ventajas en las aplicaciones web. Pero, como siempre, pueden ser usados por personas con poco trabajo maliciosas. Por ejemplo, el nuevo atributo autofocus centra de forma automática el navegador en un elemento específico. Esto podría ser aprovechado para evitar que el usuario maneje el navegador a su antojo, ofreciendo sólo acceso a una ventana con código malicioso. Otros atributos, como poster (muestra una imagen en lugar del video si este no se encuentra disponible) y srcdoc (especifica directamente el código HTML en un iframe) permitirían que elementos ejecuten recursos externos, dando vía libre al malware.

Client-side input validation

Hasta que se extendió el uso del AJAX, los desarrolladores web hacían la validación de los datos de entrada en el servidor (me váis a permitir la licencia de no llamar desarrolladores web a aquellos que sólo delegan la validación de lado del cliente, porque eso es lo que pasa cuando dejas que los diseñadores hagan webs), justo después de llamar al método submit() del formulario, pero este método no ofrece una buena experiencia de usuario.

HTML5 ofrece la posibilidad de client-side input validation, lo que permite que las aplicaciones trabajen de manera más eficiente de cara al usuario. Sin embargo, definiciones de validación erróneas pueden hacer que los usuarios se salten los chequeos de validación (o en algunos casos provoquen denegaciones de servicio).

En mi humilde opinión, y puedo equivocarme, esto puede ser una mejora y sirve ahorrarnos rutinas de validación JavaScript, haciendo el código más sencillo y entendible, pero nunca se han de delegar dichas comprobaciones únicamente al cliente.

Conclusiones

Existen muchas más novedades en las especificaciones del HTML5, y lo que está claro es que HTML5 es una mejora considerable con respecto a su antecesor, pero como dentro de todo lo bueno siempre hay algo malo, por lo que habrá que estar atentos a cómo protegernos de los villanos de la web.

Fuente:
Por Guillermo Mir
http://www.securityartwork.es/



Otras noticias de interés:

Comcast violó las reglas de Internet al bloquear los P2P
En una decisión sin precedentes el jefe del organismo que regula las comunicaciones en Estados Unidos ha recomendado que la mayor operadora de cable del país “sea multada por violar el acceso libre a Internet”. Está demostrado que Comcast bloq...
El Universo en Resumen por Michio Kaku
Navegando en la red por casualidad llegué a cerebrodigital.org donde publicaban una nota con vídeo incluido de Michio Kaku....
Soluciones de seguridad para la empresa
Conocer el nivel de seguridad de la organización, es el primer paso antes de diseñar e implantar cualquier medida de seguridad. En la actualidad la seguridad TIC se considera parte integral y necesaria de cualquier empresa u organización, es por e...
Libro Seguridad por Niveles listo para descargar
Alejandro Corletti Estrada publicó en su sitio web darfe.es el libro Seguridad por Niveles, especialmente diseñado para la docencia. Los prólogos de este libro son por Chema Alonso y Antonio Castro Lechtaler....
Nueva versión Firefox 3.0.4 y 2.0.0.18 corrige problemas de Vulnerabilidad
Acaban de ser publicadas las actualizaciones se seguridad y estabilidad tanto de la rama 3 como de la 2 de Firefox corrigiendo varios problemas detectados en versiones anteriores. En el caso de la rama 3, se añaden dos nuevos idiomas, islandés y ta...
Descubierto el primer Botnet de servidores web Linux
Un investigador ruso descubrió un clúster de servidores Linux infectados y convertidos en un botnet para distribuir malware a navegantes desprevenidos usando Windows. Se trataría del primer botnet de servidores web conectados con un centro de cont...
2do Encuentro de la Comunidad OpenStack Venezuela
OpenStack es un proyecto de computación en la nube para proporcionar una infraestructura como servicio (IaaS). La tecnología consiste en una serie de proyectos relacionados entre sí que controlan pools de control de procesamiento, almacenamiento y...
apps falsa de Instagram pueden infectar dispositivos Android
Los ciberdelincuentes están intentando aprovechar la popularidad de Instagram para infectar los equipos de los usuarios. Investigadores de Sophos han descubierto una aplicación para Android que imita a la de Instagram y que intenta infectar los equ...
Asturix la distribución GNU/Linux de Asturias
Una de las distros españolas, con alrededor de 2000 usuarios y acompañada de una comunidad de desarrolladores. Asturix viene en 3 versiones para que elijas: ...
Nueva versión GnuPG 2.0
Ya está disponible la versión 2.0 de GnuPG, el software más conocido para comunicaciones seguras. Empezó siendo un sustituto libre de PGP y ahora se ha convertido en casi un estándar para multitud de funciones: envío de correo seguro, comprobac...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataque
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • html
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • vectores
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra