« Prison Tetrabrik: Parodia de Prison Break
No te vayas a quedar sin entrada… »

Web 2.0 + JavaScript = ‘La amenaza fantasma’

web-20.gif Desde aquí nos hacemos eco de la reciente preocupación por parte de la comunidad desarrolladora de esta (nuestra) web 2.0 debido a nuevas vulnerabilidades que están apareciendo y que se basan en aprovechar el amplio uso de un lenguaje altamente inseguro en internet: JavaScript (más concretamente Ajax).

Hoy leemos en The Register a varios expertos en seguridad informática comentando la carencia de esta en algunas de las plataformas sobre las que se despliegan las redes sociales más populares. A este conjunto de vulnerabilidades lo llaman ‘JavaScript Hijacking‘ y en resumen se trata de programas escritos en JavaScript que se hacen pasar por aplicaciones propias de la plataforma, pero en realidad lo que hacen es ‘putearte’ de diferentes maneras posibles (perdón por el vocablo, pero no encontraba otra forma de expresarlo…).

star-wars-episode-1.jpg

El quid de la cuestión está en que tu, en tu navegador, tienes que tener habilitado el JavaScript si quieres que te funcione tal o cual página. Hasta aquí no hay problema. El problema viene cuando también se utiliza JavaScript para manejar los datos que se intercambian el navegador y la página web, esto es, que se utilice JavaScript como mecanismo de transporte de datos. En ese caso un script malintencionado que se esté ejecutando previamente en tu navegador puede interceptar esos datos y usarlos para lo que le apetezca.

Relacionado también con este tema leemos hoy en PCWorld.com como en una convención de hackers (de los buenos, no del lado oscuro) se filtró a la red el código fuente de un programa llamado Jitko, desarrollado por la empresa de seguridad web ‘Spi Dynamics‘, y parece que están bastante ‘acojonados’ por el tema. ¿Y por qué? pues porque este programa escrito en JavaScript (ejecutable en cualquier navegador) es un escaner de vulnerabilidades web, que en un principio había sido concebido para encontrarlas y arreglarlas pero que en malas manos puede ser usado para encontrarlas y aprovecharlas. De hecho, en declaraciones a esta revista reconocían que podía realizarse con él un botnet que fuera pasando de sitio web en sitio web, escaneandolos e infectandolos.

En fin, dedicándose a la seguridad no es que sean muy precavidos estos tipos…

Explore posts in the same categories: Actualidad, Web 2.0

This entry was posted on Abril 3, 2007 at 3:22 pm and is filed under Actualidad, Web 2.0. You can subscribe via RSS 2.0 feed to this post's comments. You can comment below, or link to this permanent URL from your own site.

One Comment on “Web 2.0 + JavaScript = ‘La amenaza fantasma’”

  1. Alberto Says:
    Abril 5, 2007 at 2:54 pm

    Hoy leemos un articulo sobre el tema en The Guardian Unlimited: Botnets - a hidden menace that threaten the future of the internet

Comment: