La facilidad con que los sitios web pueden compartir código es tanto una bendición como una maldición para el Internet de hoy. Ésta permite potentes aplicaciones Web que ofrecen una amplia variedad de datos y servicios juntos. Sin embargo, también pone un portal a merced de código escrito por terceros--código que puede tener vulnerabilidades de seguridad, o que puede resultar problemático en combinación con el resto de lo que se ofrece en el portal.

Una extensión para los navegadores permitiría a los desarrolladores utilizar código de terceros sin tener que preocuparse acerca de las vulnerabilidades que dicho código podría abrir. Un par de investigadores describieron esta extensión, llamada ConScript, en una charla dada esta semana en el Simposio IEEE sobre Seguridad y Privacidad en Oakland, California.

Las páginas Web modernas pueden ser "un poco preocupantes si miramos bajo el capó", afirma Leo Meyerovich, investigador de la Universidad de California, en Berkeley, que participó en el trabajo. Para demostrarlo, mostró cómo el portal de opiniones sobre negocios locales Yelp también ejecuta JavaScript de Facebook, Google Analytics, y de una empresa llamada Scorecard Research.

En muchos casos, señala Meyerovich, ésta es una situación "benigna, pero con errores." Cuando surge un problema, afirma él, a menudo es difícil ver con claridad quién tiene la culpa--el servicio que ejecuta el código de terceros o el propio código. Esto también hace que sea difícil resolver los problemas.

Con ConScript, los investigadores esperan poder eludir este problema dando a los desarrolladores y propietarios de portales una manera más fácil de controlar qué puede hacer el código de terceros en sus páginas.

ConScript requiere la adición de una cantidad relativamente pequeña de código al navegador (unas 1.000 líneas). Este código, a continuación examina los comandos JavaScript que están siendo procesados por el navegador. Además, inyectará un código adicional que impide que el código JavaScript realice tareas que el usuario ha configurado para bloquear.

Ben Livshits, investigador de Microsoft Research que también estuvo implicado con el trabajo, señala que ConScript proporciona a los desarroladores y proveedores de navegadores una manera de avanzar en la forma en que los sitios utilizan JavaScript sin comprometer la seguridad en el proceso. El sistema está diseñado para ser flexible, confiable y una manera ligera de aplicar las buenas prácticas de seguridad.

ConScript sabe qué comportamiento hacer cumplir basándose en un conjunto de políticas elegidas por el propietario de un sitio Web. Por ejemplo, el propietario del sitio puede configurar el sistema para que el código que no sea de confianza nunca pueda introducir pop-ups o redirigir al usuario a otros sitios Web. Los investigadores diseñaron Conscripto de forma que el propietario de un sitio Wweb puede seleccionar las políticas de varias maneras--escribiendo políticas él mismo, eligiendo políticas de una biblioteca de posibilidades, o generándolas de forma automática basándose en el análisis del código de la página web.

Una de las ventajas del diseño de ConScript, señala Meyerovich, es que debería permitir a los desarrolladores utilizar código antiguo sin tener que alterarlo, incluso si contiene vulnerabilidades de seguridad conocidas. Esto es importante no sólo para los nuevos sitios Web, sino también para permitir a los usuarios acceder con seguridad a sitios Web existentes que no se mantengan al día. Si las políticas están bien diseñadas y cuidadosamente seleccionadas, los investigadores afirman que no debería interferir con ninguna de las funcionalidades del sitio.

Los investigadores probaron su sistema con varios servicios de Internet muy populares, incluyendo Google Maps, MSN, Gmail, Google Desktop Live, y Google Calendar. Descubrieron que eran capaces de desplegar su sistema sin ralentizar significativamente estos sitios, una gran preocupación para cualquier sistema diseñado para proteger contra código no fiable.

Engin Kirda, profesor de ingeniería informática en el Instituto Eurecom en Francia, afirma que ConScript "es un sistema muy útil. Si realmente se integra en el navegador y la gente comienza a usarlo, hará Internet mucho más seguro."

Meyerovich señala que sería técnicamente sencillo crear extensiones de ConScript para todos los navegadores principales. Sin embargo, admite que establecer ConScript como estándar, de forma que todos los proveedores de navegadores hagan uso de él, podría resultar complicado.