• Tweet

La Fundación Mozilla lanzó el miércoles una versión preliminar del navegador Firefox que implementa una tecnología de protección contra ataques de código “scripting” (secuencia de comandos).

La tecnología, conocida como “Política de Seguridad del Contenido”, permite a los sitios Web especificar restricciones en la manera en que se manipulan los scripts. El uso de CSP(, Communicating Sequential Processes), en un sitio Web permite crear una lista confiable de sitios, por lo que el navegador debe aceptar las secuencias de códigos, ya que han sido catalogados como aplicaciones confiables y no son confusas o complicadas de interpretar. Otros casos también están disponibles, con el objetivo de prevenir que scripts maliciosos se ejecuten en el contexto de la página actual.

La vista previa no implementa una especificación completa, Mozilla está buscando verificarla y retroalimentarla, Brandon Sterne, director del programa de seguridad para Mozilla, expuso en el blog de este miércoles.

"Por favor, tenga en cuenta que todavía hay algunos puntos en bruto", dijo Sterne. "La aplicación no esta del todo completa, de esta forma se pueden notar algunos pequeños espacios entre lo que es la vista previa y la especificación".

La “Política de Seguridad de Contenido”, esta basa en las recomendaciones formuladas por Robert "rsnake" Hansen en el 2005. La mayoría de los navegadores tratan a todos los scripts de la misma forma, se preocupan por la ejecución en el contexto del sitio actual, y no se fijan ni les importa su origen. La política de facto es la que permitió que los anuncios provenientes del sitio de New York Times hace poco sirvieran para propagar malware a los visitantes del sitio y permitió al “Samy” y otros gusanos de Web extenderse y tener mayor impacto. La “Política de Seguridad de Contenido” permite que los sitios Web le indiquen a los navegadores qué scripts se deben permitir así como las restricciones adicionales para “scripting”

Mozilla ha creado una página demo, esto para los investigadores de la seguridad que requieran ver esta política de seguridad en acción.

Por: Robert Lemos