Firefox tiene como objetivo desenchufar los ataques de secuencias de comandos

Los sitios que se basan en contenido creado por el usuario pueden emplearse sin saberlo para atacar a sus propios usuarios a través de JavaScript y otras formas comunes de código web. Este problema de seguridad, conocido como secuencia de comandos entre sitios (XSS), puede, por ejemplo, permitir que un atacante acceda a la cuenta de una víctima y robe datos personales.





Ataque Patsy: un atacante (mostrado en rojo) puede usar secuencias de comandos entre sitios para obligar a la computadora de un usuario (izquierda) a atacar otro sistema (centro), simplemente visitando un sitio web aparentemente inocente (arriba).

Ahora los creadores de la Navegador web Firefox planee adoptar una estrategia para ayudar a bloquear los ataques. La tecnología, llamada Política de seguridad de contenido (CSP), permitirá al propietario de un sitio web especificar qué dominios de Internet pueden alojar los scripts que se ejecutan en sus páginas.

En este caso, no están creando una nueva tecnología alternativa a HTML, ni protegiendo al usuario contra un problema existente, dice Eduardo Vela, un investigador de seguridad independiente que hablará sobre los ataques XSS en la conferencia de seguridad Black Hat del próximo mes, en Las Vegas. En realidad, están eliminando las características en HTML que permitieron estos problemas en primer lugar.



Los ataques XSS han causado numerosos dolores de cabeza, particularmente para las redes sociales y las empresas Web 2.0, permitiendo a los atacantes secuestrar las subastas de eBay, por ejemplo, y crear un gusano que provocó que los usuarios de MySpace se hicieran amigos automáticamente de un usuario llamado Samy. El problema principal es que muchos sitios permiten a los usuarios que no son de confianza agregar su propio contenido a las páginas, mientras que los navegadores web tratan todo el contenido devuelto por un sitio web como si procediera de la misma entidad. Si el sitio web es de confianza, el contenido creado por un usuario desconocido también es de confianza. El problema ha sido considerado como uno de los 25 problemas de codificación más serios por el Instituto SANS, una organización de capacitación para administradores de sistemas y programadores.

En muchos casos, las empresas web pueden perseguir y restringir el contenido peligroso creado por los usuarios. Pero debido a que muchos sitios son tan grandes, encontrar y corregir todas las vulnerabilidades es una tarea difícil y que requiere mucho tiempo. Además, muchos sitios, especialmente los de redes sociales, quieren permitir a sus usuarios cierto margen de maniobra para crear contenido interesante.

El CSP de Mozilla romperá con la tradición de los navegadores web de tratar todos los scripts de la misma manera. En cambio, requerirá que los sitios web participantes coloquen sus scripts en archivos separados e indiquen explícitamente qué dominios están autorizados a ejecutar los scripts.



La Fundación Mozilla, que fabrica el navegador Firefox, seleccionó la implementación porque permite que los sitios elijan si adoptan las restricciones. La gravedad del problema XSS en la naturaleza y el costo de implementar CSP como mitigación están abiertos a la interpretación de sitios individuales, escribió Brandon Sterne, gerente del programa de seguridad de Mozilla. en el blog de seguridad de Mozilla . Si el costo versus el beneficio no tiene sentido para algún sitio, son libres de seguir haciendo negocios como de costumbre.

La nueva medida de seguridad se basa en sugerencias hechas por el especialista en seguridad web Robert Hansen en 2005. El investigador había estado estudiando diferentes tipos de ataques web y había identificado una idea interesante: permitir que los sitios web cambien el nivel de seguridad del navegador del usuario.

Hansen le dio la vuelta a la idea y, en cambio, se le ocurrió un modelo que llamó Restricciones de contenido. El modelo no debería ser, si confías en mí, desactivar toda la seguridad; el modelo debería ser, créanme para decirles que no confíen en mí, dice Hansen, quien ahora es director ejecutivo de la consultora de seguridad web SecTheory. Si sé que una página es mala, debería poder decirte que la página es mala.



Un ingeniero de la Fundación Mozilla, Gervase Markham, defendió la idea dentro del equipo de Firefox y desarrolló aún más la tecnología, y señaló que el investigador de seguridad web Jeremiah Grossman pidió públicamente la adopción de la técnica. Cuatro años después, Mozilla se ha comprometido a implementar la tecnología.

La nueva función de seguridad de Firefox podría ayudar a bloquear otra forma de ataque, conocida como clickjacking, que permite a un atacante engañar a un usuario para que haga clic en un botón inseguro, por ejemplo, iniciar una transferencia bancaria cuando cree que está enviando un correo electrónico. Sin embargo, el secuestro de clics es un problema tan generalizado que un modelo de suscripción voluntaria realmente no funciona, dice Hansen.

No todo el mundo está de acuerdo en que tales restricciones de contenido sean el camino a seguir. Microsoft ha creado un filtro de secuencias de comandos entre sitios en Internet Explorer 8 que bloquea los posibles ataques para que no lleguen al navegador de la víctima. La compañía también ha introducido una nueva función, llamada X-FRAME-OPTIONS, en Internet Explorer 8, que los sitios pueden utilizar para restringir el uso de scripts en iframes, un truco empleado por los atacantes para ejecutar código de forma invisible.



Tales esfuerzos, y la dificultad de incorporar CSP en la arquitectura web del gigante del software, .NET, hacen que sea probable que otros fabricantes de navegadores no adopten CSP de Mozilla, argumenta Vela, quien planea presentar su propia solución en Black Hat. Sinceramente, no creo que vaya a ser adoptado en gran medida, dice, sobre todo porque es muy complicado.

Mozilla, que se negó a comentar más allá de la publicación del blog, probablemente tendrá la tecnología lista para incorporarse a Firefox en 6 a 12 meses, dice Hansen. El siguiente paso es conseguir que eBay y MySpace lo recojan y digan: 'Oye, esto es genial', dice el investigador.

esconder