miércoles, 7 de octubre de 2009

Una nueva tecnología de seguridad en Firefox bloquea los ataques web

Mozilla, responsable del desarrollo del navegador Firefox, ha anunciado una nueva versión del navegador, aún en fase de pruebas, que incluye una nueva tecnología diseñada para bloquear la mayoría de los ataques web.

La tecnología se denomina Content Security Policy (CSP) y es una especialización iniciada por la propia Mozilla dirigida a los desarrolladores de páginas web y aplicaciones, quienes serán capaces de definir qué contenido del sitio o de su aplicación on-line es legítimo. Algo que podría bloquear los códigos malignos que pudieran haber sido incluidos por los hackers que intentan comprometer la seguridad de dichas web o aplicaciones. Este tipo de ataques están generalmente relacionados con las técnicas conocidas como cross-site scripting (XSS).

Según Johnathan Nightingale, direcort del equipo de desarrollo front-end de Firefox, esta tecnología “ayuda a solventar los ataques XSS, pero es más que eso. Los desarrolladores tienen ahora una manera de eliminar cualquier cosa dinámica que les perjudique, de manera que no importa qué contenido se haya añadido a una web: si está en la web y ellos han dejado claras sus instrucciones en su encabezamiento, nosotros nos encargaremos de eliminar ese añadido”.

Firefox pasa el testigo, pues, a los desarrolladores de aplicaciones y páginas web, quienes serán capaces de separar el contenido legítimo del ilícito. “Es algo parecido a NoScript”, explica el director de programa de seguridad de Mozilla, Brandon Sterne, en referencia al popular añadido de Firefox que bloquea JavaScript, Java, Flash y otros plug-ins que suelen ser empleados por los hackers. “La principal diferencia es que la página web por sí misma determina cuál es la política a Logotipo Firefoxseguir. NoScript es una gran herramienta, pero un gran número de usuarios web no son tan sofisticados como para gestionar el tipo de decisiones que implica esta herramienta”.

Además, este mismo responsable asegura que los equipos de desarrollo de Internet Explorer y Chrome “han contribuido al diseño de esta especificación. Han mostrado interés en incluirla en algún momento”. Sin duda, el apoyo de otros competidores de la industria de los navegadores puede ser clave para el éxito de esta nueva tecnología.

Además, Mozilla también ha de convencer a los desarrolladores de que emplear la tecnología CSP les aporta valor. De momento, ninguno de los responsables ha querido decir los nombres de algunos de ellos que estarían interesados en utilizarla. Tampoco han querido matizar cuándo estaría integrada en las versiones de Firefox, aunque sí han descartado que no hay muchas probabilidades de que Firefox 3.6, la próxima versión prevista para el próximo mes de noviembre, pueda incluirla.

No hay comentarios: