• Tweet

EL navegador ofrece una vista previa con las especificaciones de “La Política de Seguridad de Contendido” esperando que los rivales sigan su ejemplo.

Mozila ha liberado una prueba de la construcción de Firefox que agrega una nueva tecnología diseñada para bloquear la mayoría de los ataques basados en Web, dijo el fabricante del navegador el domingo.

La tecnología, denominada "Contenido de Seguridad Común" (CSP), es una especificación de Mozilla que inició dirigida a sitios web y desarrolladores de aplicaciones, quienes serán capaces de definir que el contenido del sitio o la solicitud en línea sea legítim y que podría bloquear cualquier secuencia de comandos o código malicioso que haya sido añadido por los hackers que logran poner en peligro el sitio o aplicación. Estos ataques son generalmente etiquetados con la etiqueta de cross-site scripting (XSS).

La edición previa de Firefox está disponible para los desarrolladores a probar, dijo Mozilla en un comunicado la semana pasada.

“Esto no es un truco sencillo que significa para luchar contra un solo tipo de ataque", dijo Johnathan Nightingale, el gerente de front- end del equipo de desarrollo de Firefox. "Esto ayuda a resolver los sitios de cross-site scripting, pero es más que eso. Ahora tienen una forma de cerrar todo lo que fuera dinámico, así que no importa qué contenido se agrega a un sitio, si está en la página y nos han enviado las instrucciones de la política en su cabecera, nosotros lo apagamos".

Firefox está pasando la batuta a desarrolladores de aplicaciones, quienes serán capaces de separar lo legítimo de los contenidos ilícitos. Con el CSP en el lugar, Firefox permitirá lo primero, pero bloqueará automáticamente a la segunda.

"Es en alguna manera similar a NoScript", dijo Brandon Sterne, el programa de Mozilla Security Manager, refiriéndose a la de Firefox add-on que bloquea JavaScript, Java, Flash y otros plug-ins de los que se abusa a menudo por los hackers. "La principal diferencia es que el sitio Web en sí mismo es la determinación de la política. NoScript es una gran herramienta, pero un gran número de usuarios de Internet no son lo suficientemente sofisticados como para administrar el tipo de decisiones que requiere."

Nightingale y Stern han depositado grandes esperanzas en la CSP, que surgió de una idea presentada inicialmente por el investigador de seguridad Robert “RSnake" Hansen en 2005. El año pasado, Hansen, el director general de SecTheory, y Jeremiah Grossman, jefe de tecnología de WhiteHat de Seguridad, los titulares cuando revelaron detalles acerca de cómo los navegadores son vulnerables a los ataques llamados "clickjacking".

" Por supuesto, esto clavar una estaca en el corazón de ataques de cross-site scripting", argumentó Sterne. Un atacante inyecta una secuencia de comandos que perjudica a los usuarios de ese sitio, que incluye la inyección de contenido. Fuera de la caja, CSP [sitios le permite enviar] indica al navegador que dice: "Vamos a desactivar todo lo que de forma predeterminada. Cross-site scripting será castrado a ese punto ",

Pero Nightingale y Sterne cuenta de que, a pesar de casi una cuarta parte de los usuarios de Internet en el mundo ejecutando Firefox, Mozilla se enfrenta a un duro camino si es que el fabricante del navegador sólo empuja CSP.