Firefox, contra los ataques XSS

Firefox, contra los ataques XSS
30 de junio, 2009

La Fundación Mozilla está preparándose para adoptar un nuevo estándar que ayudará a evitar ataques Cross Site Scripting (XSS) en su sitio web. El estándar, denominado Content Security Policy, podría ser la solución a estos ataques, y permite a un sitio web especificar qué dominios de Internet están permitidos a la hora de almacenar scripts que se ejecutan en sus páginas. Esto rompe la tendencia convencional en la que los navegadores consideran todos los scripts de la misma forma.

 

La Fundación Mozilla ha elegido este estándar porque entre otras cosas permite a los sitios web elegir si quieren adoptar esas restricciones, algo que pone en manos de ambas partes la puesta en marcha de un mecanismo que podría evitar parte de los ataques XSS, los más frecuentes en la Red de redes a la hora de hackear todo tipo de sitios web, tal y como indican en Technology Review.

 

 

Brandon Sterne, uno de los encargados de la infraestructura de seguridad en Mozilla, afirmaba en el blog de la empresa dedicado a este tema que “la gravedad del problema de los ataques ‘salvajes’ XSS  y el coste de implementar CSP como una forma de mitigarlos están abiertos a su interpretación por parte de sitios individuales“, confirmando esa capacidad de decisión de los sitios web a la hora de poner en marcha el estándar Content Security Policy.

 

La medida de seguridad se ha desarrollado en base a sugerencias realizadas por el especialista en seguridad web Robert Hansen, que ya habló del tema en 2005. Este investigador había estudiado varios tipos de ataques web e identificó una posibilidad interesante: dejar a los sitios web que cambiaran el nivel de seguridad del navegador del usuario.

 

La nueva característica de seguridad de Firefox podría ayudar también a bloquear los ataques de clickjacking, que también se están haciendo tristemente popular entre los hackers.

 

No obstante, no todos están de acuerdo con la opinión de Mozilla respecto a la validez del estándar. Microsoft, por ejemplo, ha creado un filtro contra los ataques XSS en Internet Explorer 8 que bloquea los posibles ataques y evita que alcancen al navegador de la víctima. Para ello ha usado una característica llamada x-frame-options en IE8 que puede ser utilizada por sitios web para restringir el uso de scripts en iframes, un truco habitual de los atacantes.

 

Esto hace que de momento sea complicado aventurar si CSP se implementará en otros navegadores que no sean Firefox, aunque habrá que ver cómo se desarrollan los acontecimientos.

 

  • Share This