Los sitios webs que dependen de contenidos creados por usuarios pueden acabar siendo utilizados, sin saberlo, para atacar a sus propios usuarios a través de JavaScript y otras formas de código web comunes. Este problema de inseguridad, conocido como scripts de sitio cruzado (cross-site scripting, o XSS) es capaz, por ejemplo, de permitir al atacante que acceda a la cuenta de la víctima y robe sus datos personales.

Los creadores del navegador Firefox tienen previsto adoptar una estrategia para ayudar a bloquear los ataques. Esta tecnología, llamada Política para Seguridad de Contenidos (CSP, en inglés) permitirá a los propietarios de las webs especificar qué dominios de internet tienen permiso para albergar los scripts que se ejecutan en sus páginas.

“En este caso, no se está creando una nueva tecnología alternativa al HTML, ni se está protegiendo al usuario frente a un problema ya existente,” afirma Eduardo Vela, investigador de seguridad independiente que charlará el próximo mes en Las Vegas acerca de los ataques XSS durante la conferencia sobre seguridad Black Hat. “Lo que se está haciendo es eliminar características del HTML que permitían que este tipo de problemas se diesen en un principio.”

Los ataques XSS han provocado hasta la fecha infinidad de dolores de cabeza, particularmente en las redes sociales y compañías Web 2.0, y han permitido a los atacantes secuestrar subastas de eBay, por ejemplo, además de crear un gusano que provocaba que los usuarios de MySpace se hicieran amigos automáticamente de un usuario llamado “Samy.” El problema principal es que muchos sitios permiten que los usuarios ‘no seguros’ añadan sus contenidos a las páginas mientras que los navegadores web tratan todo el contenido que les llega de los sitios web como si viniera de la misma entidad. Si la página web es segura, el contenido creado por un usuario desconocido también se trata como si fuera seguro. Este problema ha sido clasificado como uno de los 25 problemas de programación más serios por el Instituto SANS, una organización para el entrenamiento de administradores de sistemas y programadores.

En muchos casos, las compañías web pueden seguir el rastro de los contenidos de usuario peligrosos y restringirlos. No obstante, y debido al enorme tamaño de muchos sitios, encontrar y reparar este tipo de vulnerabilidades es una tarea difícil y que consume mucho tiempo. Cada vez más, muchos sitios, especialmente las redes sociales, dan cierta libertad a sus usuarios para que creen contenidos interesantes.

El CSP de Mozilla acabará con el hábito de los navegadores web de tratar todos los scripts de la misma forma. En vez de eso, requerirá que las webs participantes coloquen sus scripts en archivos por separado e indiquen de forma explícita qué dominios tienen permiso para ejecutar los scripts.

La Fundación Mozilla, creadora del navegador Firefox, ha hecho que esta implementación fuera selectiva para permitir a los sitios web que adopten las restricciones sólo si así lo desean. “La gravedad del problema XSS y el coste de implementar el CSP como forma de mitigarlo están abiertos a la interpretación de los sitios a nivel individual,” escribió Brandon Sterne, director del programa de seguridad de Mozilla, en el Blog de Seguridad de la compañía. “Si el coste y los beneficios no tienen sentido para alguna de las webs, tienen la libertad de seguir funcionando como hasta ahora.”

Esta nueva medida de seguridad está basada en una serie de sugerencias hechas por dos especialistas en seguridad web, Robert Hansen y Jeremiah Grossman, en 2005. Los investigadores habían estado estudiando distintos tipos de ataques web y habían llegado a una idea interesante: permitir a las páginas web cambiar los niveles de seguridad de los navegadores de los usuarios.

Hansen y Grossman le dieron la vuelta a la idea en la cabeza y, al contrario, crearon un modelo al que Hanson se refiere como de Restricciones de Contenido. “El modelo no debería funcionar de forma que, si confías en mí, entonces desconecta toda la seguridad; debería funcionar de esta manera: ‘confía en mí para que te diga que no debes confiar en mí,’” afirma Hansen, que en la actualidad es director de la asesoría de seguridad web SecTheory. “Si sé que una página es dañina, entonces yo tendría que poder decirte que la página es dañina.”

La nueva característica de seguridad de Firefox podría ayudar a bloquear otro tipo de ataque, conocido como clickjacking (secuestro de clics), que permite al atacante engañar a usuario para que haga clic en un botón no seguro—por ejemplo, para iniciar una transferencia bancaria cuando en realidad creemos estar enviando un correo electrónico. Sin embargo, el clickjacking es un problema tan omnipresente que un modelo basado en la instalación voluntaria no acabaría funcionando bien, afirma Hansen.

No todo el mundo opina que las Restricciones de Contenido sean la mejor opción. Microsoft ha creado un filtro de scripts de sitio cruzado en Internet Explorer 8 que bloquea los posibles ataques antes de que lleguen al navegador de la víctima. La compañía también ha presentado una nueva característica, llamada X-FRAME-OPTIONS, en Internet Explorer 8, que se puede incluir en aquellos sitios web que deseen restringir el uso de scripts en los iframes—un truco que usan los atacantes para ejecutar código de forma invisible.

Iniciativas como esta, junto a la dificultad de incorporar el CSP en la arquitectura web del gigante del software, .NET, hace que probablemente el CSP de Mozilla no sea adoptado por otros desarrolladores de navegadores, afirma Vela, que tiene previsto presentar su propia solución durante la Black Hat. “Creo sinceramente que la adopción no va a ser general,” afirma, “principalmente porque es muy complicado.”

Mozilla, que no quiso hacer declaraciones más allá de las publicadas en el blog, probablemente tendrá la tecnología lista para incluirla en Firefox de aquí a 6 ó 12 meses, señala Hansen. “El siguiente paso es hacer que eBay y MySpace utilicen esa tecnología y digan, ‘Oye, esto es genial,’” afirma el investigador.