----------
Los sitios webs que dependen de contenidos creados por
usuarios pueden acabar siendo utilizados, sin saberlo, para atacar a sus
propios usuarios a través de JavaScript y otras formas de código web comunes.
Este problema de inseguridad, conocido como scripts de sitio cruzado
(cross-site scripting, o XSS) es capaz, por ejemplo, de permitir al atacante
que acceda a la cuenta de la víctima y robe sus datos personales.
Los creadores del navegador Firefox tienen previsto
adoptar una estrategia para ayudar a bloquear los ataques. Esta tecnología,
llamada Política para Seguridad de Contenidos (CSP, en inglés) permitirá a los
propietarios de las webs especificar qué dominios de internet tienen permiso
para albergar los scripts que se ejecutan en sus páginas.
“En este caso, no se está creando una nueva tecnología
alternativa al HTML, ni se está protegiendo al usuario frente a un problema ya
existente,” afirma Eduardo Vela, investigador de seguridad independiente que
charlará el próximo mes en Las Vegas acerca de los ataques XSS durante la
conferencia sobre seguridad Black Hat. “Lo que se está haciendo es eliminar
características del HTML que permitían que este tipo de problemas se diesen en
un principio.”
Los ataques XSS han provocado hasta la fecha infinidad de
dolores de cabeza, particularmente en las redes sociales y compañías Web 2.0, y
han permitido a los atacantes secuestrar subastas de eBay, por ejemplo, además
de crear un gusano que provocaba que los usuarios de MySpace se hicieran amigos
automáticamente de un usuario llamado “Samy.” El problema principal es que
muchos sitios permiten que los usuarios ‘no seguros’ añadan sus contenidos a
las páginas mientras que los navegadores web tratan todo el contenido que les
llega de los sitios web como si viniera de la misma entidad. Si la página web
es segura, el contenido creado por un usuario desconocido también se trata como
si fuera seguro. Este problema ha sido clasificado como uno de los 25 problemas
de programación más serios por el Instituto SANS, una organización para el
entrenamiento de administradores de sistemas y programadores.
En muchos casos, las compañías web pueden seguir el
rastro de los contenidos de usuario peligrosos y restringirlos. No obstante, y
debido al enorme tamaño de muchos sitios, encontrar y reparar este tipo de
vulnerabilidades es una tarea difícil y que consume mucho tiempo. Cada vez más,
muchos sitios, especialmente las redes sociales, dan cierta libertad a sus
usuarios para que creen contenidos interesantes.
El CSP de Mozilla acabará con el hábito de los
navegadores web de tratar todos los scripts de la misma forma. En vez de eso,
requerirá que las webs participantes coloquen sus scripts en archivos por
separado e indiquen de forma explícita qué dominios tienen permiso para
ejecutar los scripts.
La Fundación Mozilla, creadora del navegador Firefox, ha
hecho que esta implementación fuera selectiva para permitir a los sitios web
que adopten las restricciones sólo si así lo desean. “La gravedad del problema
XSS y el coste de implementar el CSP como forma de mitigarlo están abiertos a
la interpretación de los sitios a nivel individual,” escribió Brandon Sterne,
director del programa de seguridad de Mozilla, en el Blog de Seguridad de la
compañía. “Si el coste y los beneficios no tienen sentido para alguna de las
webs, tienen la libertad de seguir funcionando como hasta ahora.”
