sábado, 5 de julio de 2008

Novedad de seguridad en Internet Explorer 8: Filtro XSS

Me enteró por el blog Security Vunerability Research & Defense de Microsoft, de una nueva funcionalidad de seguridad que será integrada en la Beta 2 de Internet Explorer 8, aún en desarrollo.

Esta nueva funcionalidad es un filtro XSS (cross-site-scripting) que busca proteger a los navegantes contra ese tipo de ataque, muy utilizado en la actualidad. Los ataques XSS son aquellos que aprovechan fallas de seguridad en el desarrollo de sitios web que pueden permitir, entre otras cosas, el acceso a las cookies del visitante, interactuar con su navegación en los sitios web para obtener información sensible, etc.

Dichas vulnerabilidades se deben, puntualmente, a que los desarrolladores de algunos sitios web no comienzan su trabajo pensando en la seguridad, dejando de lado controles básicos en su programación.

El filtro que se incorporará en Internet Explorer 8 bloqueará el acceso a aquellas URLs que puedan intentar aprovechar vulnerabilidades XSS, mostrando un mensaje de aviso al usuario. La funcionalidad es explicada en detalle en el blog de Internet Explorer de Microsoft.

Para evitar problemas de acceso a ciertos sitios web que puedan ser falsos positivos, la aplicación del filtro puede ser anulada por el propietario del sitio web, mediante una cabecera HTTP particular (X-XSS-Protection: 0).

En los comentarios del blog que anuncia esto ya se ven algunas preocupaciones al respecto de este filtro, tales como lo confuso que puede ser para el usuario promedio, así como la efectividad que pueda llegar a tener.

Vale recordar que el plugin NoScript de Mozilla Firefox ya protege contra muchos de estos tipos de ataques.

Es bueno, de todas formas, ver que Internet Explorer se va aggiornando a las necesidades de seguridad de sus usuarios.

"is"

No hay comentarios: