¿Cómo HTML5 está cambiando la seguridad web?

Google anuncio que terminaron con flash fue el último clavo en el ataúd de Flash.


Incluso antes de eso, a los tecnócratas famosos les gusta Steve Jobs habló abiertamente contra Flash.

Con la desaparición del flash y el auge de HTML5, se ha introducido una nueva era que presenta sitios web con mejor aspecto y mejor funcionamiento que son compatibles tanto con móviles como con PC.

Transferir datos y recibirlos también se ha vuelto mucho más sencillo que antes.

Sin embargo, presenta sus desafíos únicos que deben ganarse.

La ventaja de esto es que html5 lleva el soporte y la funcionalidad entre navegadores a un nivel completamente nuevo.

Ciertos navegadores no admiten elementos individuales del sitio, y es frustrante tener que cambiar los elementos del sitio para mantenerse al día con las apariencias.

HTML5 descarta ese requisito ya que todos los navegadores modernos admiten.

Intercambio de recursos de origen cruzado

El intercambio de recursos de origen cruzado (CORS) es una de las características más influyentes de html5 y también una que presagia la mayor cantidad de posibilidades de errores y ataques de piratas informáticos.

CORS define encabezados para ayudar a que los sitios definan los orígenes y faciliten las interacciones contextuales.

Con html5 CORS silencia el mecanismo de seguridad fundamental en los navegadores llamado Misma regla de origen.

Bajo la misma política de origen, un navegador puede permitir que una página web acceda a datos de una segunda página web solo si ambas páginas tienen el mismo origen.

Que es un origen?

Un origen es una combinación de esquema URI, nombre de host y número de puerto. Esta política evita que scripts maliciosos ejecuten y accedan a datos de páginas web.

CORS relaja esta política al permitir que diferentes sitios accedan a los datos para permitir la interacción contextual.

Esto puede llevar a un pirata informático a obtener datos confidenciales.

Por ejemplo,

Si ha iniciado sesión en Facebook y permanece conectado y luego visita otro sitio, entonces es posible que los atacantes puedan robar información y hacer lo que deseen en su cuenta de Facebook aprovechando la política relajada de origen cruzado.

En una nota un poco más tibia, si un usuario inicia sesión en su cuenta bancaria y olvida cerrar sesión, el hacker podría acceder a las credenciales del usuario, sus transacciones o incluso crear nuevas transacciones..

Los navegadores al almacenar los detalles del usuario dejan las cookies de sesión abiertas para su explotación.

Los hackers también pueden entrometerse con los encabezados para desencadenar redireccionamientos no validados.

Los redireccionamientos no validados pueden ocurrir cuando los navegadores aceptan entradas no confiables. Esto, a su vez, reenvía una solicitud de redireccionamiento. La URL no confiable se puede modificar para agregar una entrada al sitio malicioso y, por lo tanto, iniciar estafas de phishing al proporcionar URL que parecen idénticas al sitio real.

Los ataques de redireccionamiento y reenvío no validados también se pueden usar para crear maliciosamente una URL que pasaría la verificación de control de acceso de la aplicación y luego reenviar al atacante a funciones privilegiadas a las que normalmente no podrían acceder.

Esto es lo que los desarrolladores deben tener en cuenta para evitar que estas cosas sucedan.

  • Los desarrolladores deben asegurarse de que las URL se pasen a abrir. Si estos son dominios cruzados, entonces puede ser vulnerable a las inyecciones de código.
  • Además, preste atención si las URL son relativas o si especifican un protocolo. Una URL relativa no especifica un protocolo, es decir, no sabríamos si comienza con HTTP o https. El navegador asume que ambas son verdaderas.
  • No confíe en el encabezado Origin para las comprobaciones de control de acceso, ya que se pueden suplantar fácilmente.

¿Cómo saber si CORS está habilitado en un dominio particular??

Bueno, puedes usar herramientas de desarrollador en el navegador para examinar el encabezado.

Mensajería entre dominios

La mensajería entre dominios no se permitía anteriormente en los navegadores para evitar ataques de secuencias de comandos entre sitios.

Esto también evitó la comunicación legítima entre sitios web, lo que hizo que la mayor parte de la mensajería entre dominios ahora.

La mensajería web permite que diferentes API interactúen con facilidad.

Para evitar ataques de secuencias de comandos cruzadas, esto es lo que los desarrolladores deben hacer.

Deben indicar el origen esperado del mensaje.

  • Los atributos de origen siempre se deben verificar y verificar los datos.
  • La página receptora siempre debe verificar el atributo de origen del remitente. Esto ayuda a verificar que los datos recibidos se envíen desde la ubicación esperada.
  • La página receptora también debe realizar la validación de entrada para garantizar que los datos estén en el formato requerido.
  • Los mensajes intercambiados deben interpretarse como datos, no códigos.

Mejor almacenamiento

Otra característica de html5 es que permite un mejor almacenamiento. En lugar de confiar en las cookies para realizar un seguimiento de los datos del usuario, el navegador está habilitado para almacenar datos.

HTML5 permite el almacenamiento en múltiples ventanas, tiene una mejor seguridad y retiene los datos incluso después de cerrar un navegador. El almacenamiento local es posible sin complementos del navegador.

Esto explica diferentes tipos de problemas.

Los desarrolladores deben cuidar lo siguiente para evitar que los atacantes roben información.

  • Si un sitio almacena las contraseñas de los usuarios y otra información personal, los hackers podrían acceder a ella. Dichas contraseñas, si no están encriptadas, se pueden robar fácilmente a través de las API de almacenamiento web. Por lo tanto, se recomienda encarecidamente que todos los datos valiosos del usuario se cifren y almacenen.
  • Además, muchas cargas útiles de malware ya han comenzado a escanear cachés del navegador y API de almacenamiento para encontrar información sobre los usuarios, como información financiera y transaccional..

Pensamientos concluyentes

HTML5 ofrece excelentes oportunidades para que los desarrolladores web modifiquen y hagan las cosas mucho más seguras.

Sin embargo, la mayor parte del trabajo para proporcionar un entorno seguro recae en los navegadores.

Si está interesado en obtener más información, consulte “Aprende HTML5 en 1 hora” curso.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map