it-swarm-es.com

¿Qué tan grande es el riesgo de habilitar secuencias de comandos en el navegador web?

Mientras navega por la web, muchos sitios web ejecutan scripts (principalmente javascript) que se ejecutan sin que el usuario se dé cuenta. ¿Qué tan grande es el riesgo de que el malware pase desapercibido mientras se navega con las secuencias de comandos habilitadas? Para detallar cuánto: ¿las secuencias de comandos en el navegador son más problemáticas que otros contenidos como CSS o imágenes? ¿Cuáles son estos problemas?

8
Mnementh

Definitivamente existe un riesgo: las secuencias de comandos esencialmente permiten la ejecución de código en el navegador. Las vulnerabilidades van desde la lectura del historial de su navegador hasta la instalación de malware y el phishing de sus credenciales bancarias, cada una de las cuales puede potencialmente causarle "daño" de alguna manera.

Sin embargo, dado que la mayoría de los sitios web de hoy en día se basan en secuencias de comandos, hay una gran pérdida al desactivar las secuencias de comandos, hasta e incluyendo el sitio que ya no aparece en su navegador. La desactivación de las secuencias de comandos tampoco protegerá contra otras formas de que sucedan cosas malas en su computadora, por lo que el retorno por las molestias no es increíblemente alto.

Probablemente el uso más común de las secuencias de comandos es la analítica, que permite al webmaster de ese sitio obtener información sobre quién accede a qué páginas, mejorando así potencialmente el flujo del sitio y la información presentada. Sin embargo, la otra cara de la analítica es la publicidad dirigida, que permite a los anunciantes seguir a los usuarios en varios sitios.

La mayoría de los scripts de los sitios web son "en su mayoría" inofensivos, al igual que la mayoría del software disponible es "en su mayoría" inofensivo. El personal de seguridad se enfoca en el lado malicioso de las cosas y continuamente vuelve a aprender que existe un compromiso entre usabilidad y seguridad.

Lo que yo personalmente hago es usar Firefox con los complementos NoScript y Ghostery. Entre esos dos, especialmente NoScript, la posibilidad de que se inyecten scripts en la página que estoy viendo se reduce considerablemente. Todavía espero que me engañen en algún momento, pero las herramientas que tengo harán un trabajo razonable para mantenerme al tanto de lo que está sucediendo siempre y cuando continúe prestando atención.

11
Shewfig

Hoy en día, muchos sitios requieren la habilitación de secuencias de comandos; de lo contrario, el usuario podría experimentar problemas con la usabilidad y la funcionalidad general del sitio. Claro, puede deshabilitar JavaScript, por ejemplo, pero incluso eso no evita por completo que se explote. También necesitaría deshabilitar Java, Flash, lo que viene como complementos y funcionalidad adicional. Pero eso haría que el navegador sea bastante inútil hoy en día. En los últimos tiempos, en los navegadores modernos vienen soluciones integradas que deberían aumentar la seguridad, como IE, Chrome's anti-XSS . Para Firefox existe la conocida extensión " NoScript " que permite administrar la lista de sitios que permite JavaScript/Flash/Java. Pero incluso estas medidas preventivas no son suficientes: se han pasado por alto y quién sabe cuándo la próxima vez. En estos días debes tener cuidado. En mi opinión, la mejor solución es navegar por Internet desde la caja de Linux dentro de la máquina virtual. Pero eso tiene un costo de comodidad.

4
anonymous

Man-in-the-browser es el riesgo número uno. Yo diría que permitir una entrega de malware más eficiente es secundario.

Cosas como Browser Exploitation Framework (BeEF) - http://www.bindshell.net/tools/beef/ - deberían proporcionar una mejor explicación a través de sus implementaciones.

2
atdre

Si la usabilidad llega a cero, la gente encontrará una forma de evitar su bloqueo anti-scripting. Como se mencionó anteriormente, NoScript es un complemento realmente agradable para permitir que ciertos sitios ejecuten scripts.

Las descargas no autorizadas son probablemente un riesgo mucho mayor para los usuarios poco sofisticados. No necesita ninguna secuencia de comandos para mostrarle al usuario un reproductor multimedia flash falso que dice "actualización requerida" y cuando el usuario hace clic en el "botón de reproducción" falso, descarga el malware que instala. Juego terminado.

Y flash ha tenido una serie de desbordamientos de búfer y vulnerabilidades.

0
Bradley Kreider