Vectores de ataque del HTML 5


Las últimas versiones de la mayoría de los navegadores que conocemos (IE, Firefox, Safari, Chrome y Opera) incorporan ya la posibilidad de usar las nuevas etiquetas y propiedades de HTML5, pero como cada uno lo implementa a su manera, pueden aparecer “bugs”, más propios del navegador que lo implementa, que del lenguaje en si.





¿Dónde está el peligro?

Parte del peligro radica en que se delegan ciertas comprobaciones de seguridad al desarrollador web, y como todos los que estamos en esto sabemos, lo urgente nunca deja tiempo a lo importante. Esto me recuerda cierta frase que escuché hace algún tiempo, cuando un desarrollador web se excusaba por un fallo grave de seguridad: “A nosotros nos han dicho que funcione, no que sea seguro”.

Cross-Document Messaging

HTML5 integra una nueva API llamada postMessage que permite a un script de un dominio, pasar datos a uno que corre en otro (HTML 4 no permite que páginas de midominio.com pase datos a páginas/scripts que estén en tudominio.com). Para asegurar que las peticiones no son maliciosas, postMessage incluye varias propiedades, que el desarrollador puede usar para verificar el origen de la petición, pero este chequeo no es obligatorio pudiendo dejar scripts expuestos a peticiones maliciosas.

Local Storage

Desde HTML5, se puede acceder a una base de datos local SQL. Este almacenamiento offline (y en local) puede acelerar notablemente las aplicaciones web, especialmente si estas necesitan un acceso a datos constante. Está claro que no todo son ventajas, y como muestra de ello, leer el post de Jose Miguel Holguín en este mismo blog (evercookie never forget), en el que nos detalla como usar esta característica para fijar cookies de navegador de manera persistente.

Nuevas etiquetas

Gran parte de la funcionalidad multimedia que en HTML4 proporcionaban los plugins de terceros, se pueden usar ahora de forma nativa (<audio>, <video> y <svg>), sin necesidad de éstos, que consumen recursos extra y, en ocasiones, causan inestabilidad en el navegador. Este paso delega en los navegadores la implementación de esos elementos, que resulta en posibles “bugs” explotables.

Nuevos atributos

En esta nueva especificación tenemos nuevos atributos muy interesantes, que nos pueden aportar grandes ventajas en las aplicaciones web. Pero, como siempre, pueden ser usados por personas con poco trabajo maliciosas. Por ejemplo, el nuevo atributo autofocus centra de forma automática el navegador en un elemento específico. Esto podría ser aprovechado para evitar que el usuario maneje el navegador a su antojo, ofreciendo sólo acceso a una ventana con código malicioso. Otros atributos, como poster (muestra una imagen en lugar del video si este no se encuentra disponible) y srcdoc (especifica directamente el código HTML en un iframe) permitirían que elementos ejecuten recursos externos, dando vía libre al malware.

Client-side input validation

Hasta que se extendió el uso del AJAX, los desarrolladores web hacían la validación de los datos de entrada en el servidor (me váis a permitir la licencia de no llamar desarrolladores web a aquellos que sólo delegan la validación de lado del cliente, porque eso es lo que pasa cuando dejas que los diseñadores hagan webs), justo después de llamar al método submit() del formulario, pero este método no ofrece una buena experiencia de usuario.

HTML5 ofrece la posibilidad de client-side input validation, lo que permite que las aplicaciones trabajen de manera más eficiente de cara al usuario. Sin embargo, definiciones de validación erróneas pueden hacer que los usuarios se salten los chequeos de validación (o en algunos casos provoquen denegaciones de servicio).

En mi humilde opinión, y puedo equivocarme, esto puede ser una mejora y sirve ahorrarnos rutinas de validación JavaScript, haciendo el código más sencillo y entendible, pero nunca se han de delegar dichas comprobaciones únicamente al cliente.

Conclusiones

Existen muchas más novedades en las especificaciones del HTML5, y lo que está claro es que HTML5 es una mejora considerable con respecto a su antecesor, pero como dentro de todo lo bueno siempre hay algo malo, por lo que habrá que estar atentos a cómo protegernos de los villanos de la web.

Fuente:
Por Guillermo Mir
http://www.securityartwork.es/



Otras noticias de interés:

Existen Menos vulnerabilidades, pero son más peligrosas
Hewlett-Packard afirma que el número de vulnerabilidades descubiertas en las aplicaciones comerciales continúa cayendo, casi un 20% entre 2010 y 2011. Sin embargo, el riesgo de las vulnerabilidades descubiertas es mucho mayor. Además, los ciberata...
EEUU ayudará a pymes a defenderse de ciberataques
La Comisión Federal de Comunicaciones de Estados Unidos (FCC) ha anunciado que proporcionará una herramienta online para ayudar a las pequeñas empresas a desarrollar estrategias de ciberseguridad. ...
Linux en la Nintendo Wii
Linux Satoru Iwata, CEO y presidente de Nintendo, contestó recientemente a algunas preguntas en una entrevista publicada en las propias páginas de Nintendo. Y entre esos comentarios Iwata habló de la posibilidad de actualizar el sistema operativo,...
Firefox 4 se actualizará en silencio
Firefox 4 actualizará de manera automática las extensiones del navegador, según ha adelantado un diseñador de interfaz en Mozilla....
El estándar final para WiFi de alta velocidad está cada vez más cerca
La búsqueda de una base común para la emergente especificación IEEE 802.11n WLAN de alta velocidad ha llevado a varios fabricantes a unirse para realizar una propuesta que podría ser el principio del estándar ...
Once boletines de seguridad para Mozilla Firefox
La Fundación Mozilla ha publicado once boletines de seguridad para solucionar diversas vulnerabilidades en Mozilla Firefox que podrían ser aprovechadas por un atacante remoto para manipular o revelar información sensible, saltarse restricciones de...
Empresas no evalúan a sus departamentos de sistemas
Un estudio de Nexica revela que el 62% de las compañías no cuenta con evaluaciones formales para analizar el funcionamiento de sus Sistemas de Información. ...
Ejecución remota de scripts en RealOne Player
Se ha detectado que la actualización de seguridad del 19 de agosto de 2003 no soluciona la vulnerabilidad Cross-Site scripting (XSS), que se encontró en los archivos .SMI del RealOne Player....
Más de 350 fallos en el Kernel de Android
Recientemente ha sido publicado el informe Coverity Scan 2010 Open Source Integrity Report; este informe es desarrollado por la empresa Coverity y el departamento de seguridad nacional de los EE.UU. y vienen desarrollando esta labor desde 2006. Este ...
Sistemas de cifrado con clave pública
Intypedia publicó un video donde explican de forma sencilla el cifrado con clave pública. Incluye ejercicios....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataque
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • html
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • vectores
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra