Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
Comparte en:

¿Cómo HTML5 está cambiando la seguridad web?

html5
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

De Google anuncio que terminaron con flash fue el último clavo en el ataúd de Flash.

Incluso antes de eso, los tecnócratas famosos como Steve Jobs habló abiertamente contra Flash.

Con la desaparición de flash y el surgimiento de HTML5, se ha iniciado una nueva era que presenta sitios web de mejor apariencia y mejor funcionamiento que son compatibles con móviles y PC por igual.

Transferir datos y recibirlos también se ha vuelto mucho más sencillo que antes.

Sin embargo, presenta desafíos únicos que deben ganarse.

La ventaja de esto es que html5 lleva el soporte y la funcionalidad de varios navegadores a un nivel completamente nuevo.

cada navegador

Ciertos navegadores no admiten elementos individuales del sitio y es frustrante tener que cambiar los elementos del sitio para mantenerse al día con las apariencias.

HTML5 descarta ese requisito ya que todos los navegadores modernos lo admiten.

Cross-origin Resource Sharing

El intercambio de recursos de origen cruzado (CORS) es una de las características más influyentes de html5 y también una que presagia la mayor cantidad de posibilidades de errores y ataques de hackers.

CORS define encabezados para ayudar a que los sitios definan los orígenes y faciliten las interacciones contextuales.

Con html5 CORS silencia el mecanismo de seguridad fundamental en los navegadores llamado Regla del mismo origen.

Bajo la misma política de origen, un navegador puede permitir que una página web acceda a datos de una segunda página web solo si ambas páginas web tienen el mismo origen.

cuernos

¿Qué es un origen?

Un origen es una combinación de esquema URI, nombre de host y número de puerto. Esta política evita que los scripts maliciosos se ejecuten y accedan a los datos de las páginas web.

CORS relaja esta política al permitir que diferentes sitios accedan a los datos para permitir la interacción contextual.

Esto puede llevar a un pirata informático a tener acceso a datos confidenciales.

Por ejemplo,

Si ha iniciado sesión en Facebook y permanece conectado y luego visita otro sitio, entonces es posible que los atacantes puedan robar información y hacer lo que quieran en su cuenta de Facebook aprovechando la política relajada de origen cruzado.

En una nota un poco más tibia, si un usuario inicia sesión en su cuenta bancaria y se olvida de cerrar la sesión, el pirata informático podría obtener acceso a las credenciales del usuario, sus transacciones o incluso crear nuevas transacciones.

Los navegadores al almacenar los datos del usuario dejan las cookies de sesión abiertas para su explotación.

Los piratas informáticos también pueden inmiscuirse en los encabezados para activar redireccionamientos no validados.

Los redireccionamientos no validados pueden ocurrir cuando los navegadores aceptan entradas que no son de confianza. Esto, a su vez, reenvía una solicitud de redireccionamiento. La URL que no es de confianza se puede modificar para agregar una entrada al sitio malicioso y, por lo tanto, lanzar estafas de phishing proporcionando URL que parecen idénticas al sitio real.

Los ataques de redireccionamiento y reenvío no validados también se pueden usar para crear maliciosamente una URL que pasaría la verificación de control de acceso de la aplicación y luego reenviaría al atacante a funciones privilegiadas a las que normalmente no podrían acceder.

Esto es lo que los desarrolladores deben tener en cuenta para evitar que sucedan estas cosas.

  • Los desarrolladores deben asegurarse de que las URL se pasen para abrir. Si se trata de dominios cruzados, puede ser vulnerable a las inyecciones de código.
  • Además, preste atención si las URL son relativas o si especifican un protocolo. Una URL relativa no especifica un protocolo, es decir, no sabríamos si comienza con HTTP o https. El navegador asume que ambos son verdaderos.
  • No confíe en el encabezado de Origin para las comprobaciones de control de acceso, ya que pueden falsificarse fácilmente.

¿Cómo saber si CORS está habilitado en un dominio en particular?

Bueno, puedes usar herramientas de desarrollador en el navegador para examinar el encabezado.

Cross-domain Messaging

La mensajería entre dominios no estaba permitida anteriormente en los navegadores para evitar ataques de secuencias de comandos entre sitios.

Esto también impidió que ocurriera una comunicación legítima entre sitios web, lo que generó la mayor parte de la mensajería entre dominios ahora.

La mensajería web permite que diferentes API interactúen con facilidad.

Para evitar ataques de secuencias de comandos cruzadas, esto es lo que deben hacer los desarrolladores.

Deben indicar el origen esperado del mensaje.

  • Los atributos de origen siempre deben comprobarse y verificarse los datos.
  • La página receptora siempre debe verificar el atributo de origen del remitente. Esto ayuda a verificar que los datos recibidos se envíen efectivamente desde la ubicación esperada.
  • La página de recepción también debe realizar la validación de entrada para garantizar que los datos estén en el formato requerido.
  • Los mensajes intercambiados deben interpretarse como datos, no como códigos.

Better Storage

Otra característica de html5 es que permite un mejor almacenamiento. En lugar de depender de las cookies para realizar un seguimiento de los datos del usuario, el navegador está habilitado para almacenar datos.

STORAGE

HTML5 permite el almacenamiento en múltiples ventanas, tiene mejor seguridad y retiene los datos incluso después de cerrar un navegador. El almacenamiento local es posible sin complementos del navegador.

Esto significa diferentes tipos de problemas.

Los desarrolladores deben ocuparse de las siguientes cosas para evitar que los atacantes roben información.

  • Si un sitio almacena las contraseñas de los usuarios y otra información personal, los piratas informáticos podrían acceder a él. Estas contraseñas, si no están cifradas, se pueden robar fácilmente a través de las API de almacenamiento web. Por lo tanto, se sugiere encarecidamente que todos los datos valiosos del usuario estén encriptados y almacenados.
  • Además, muchas cargas útiles de malware ya han comenzado a escanear los cachés del navegador y las API de almacenamiento para encontrar información sobre los usuarios, como información financiera y transaccional.

Concluding thoughts

HTML5 ofrece excelentes oportunidades para que los desarrolladores web modifiquen y hagan las cosas mucho más seguras.

Sin embargo, la mayor parte del trabajo para proporcionar un entorno seguro recae en los navegadores.

Si está interesado en obtener más información, consulte "Aprenda HTML5 en 1 hora" curso.

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder