Llegamos a ustedes gracias a:



Noticias

HTML5 introduce nuevos retos a la seguridad

[06/12/2011] La adopción de HTML5 hará posible disfrutar de un amplio conjunto de aplicaciones web, pero, según Sophos, también introducirá nuevos retos para la seguridad de las empresas.
En sus predicciones para el 2012, Sophos identifica las nuevas tecnologías de networking y de web, como HTML5, como uno de los principales retos de seguridad durante el próximo año. Aunque estas tecnologías aportan características muy interesantes y atractivas que permitirán un desarrollo de aplicaciones web más rico, también introducen nuevos vectores de ataque, advierte Sophos.
HTML4 ha sido la base del contenido web durante muchos años, pero como se trata de un lenguaje de programación muy básico, los desarrolladores se han visto obligados a complementarlo con software adicional que, como JavaScript, Flash o Google Gears, introducen nuevas vulnerabilidades de seguridad.
HTML5 elimina la necesidad de emplear tales add-ons al ser un lenguaje más sofisticado y a ofrecer una base de datos que permite a los usuarios almacenar gigabytes de información. Así, por ejemplo, se pueden usar animaciones de calidad, realidad virtual 3D o almacenar aplicaciones dentro del navegador. Pero según Sophos, esta última posibilidad supone que en la práctica el navegador se convierte en objetivo de los cibercriminales. Si tradicionalmente el navegador ha servido a los ciberdelincuentes como un medio de acceso a los PC, ahora será el propio navegador el objeto de ataques para robar los datos.
Por otra parte, el nuevo aislamiento de procesos (sandboxing) de HTML5 aumenta el riesgo de sufrir clickjacking (técnicas para conseguir información confidencial de los usuarios), puesto que las páginas web ya no son capaces de identificar de dónde proceden los comandos. De acuerdo con Sophos, todo el código que los desarrolladores escriben para prevenir que las aplicaciones sean automatizadas y clickjacked por partes no autorizadas ya no funciona. En realidad lo que se ha hecho es implementar una característica de seguridad que inadvertidamente ha inutilizado otra más importante.
HTML5 también introduce nuevos problemas con las cookies, si lo sitios web no se codifican apropiadamente, que podrían facilitar la captación masiva de información.
Sin embargo, afirma Sophos, a pesar de estos problemas potenciales, HTML5 aporta múltiples ventajas de seguridad, como la eliminación de la necesidad de add-ons de riesgo, la validación de inputs del lado del cliente o librerías que ayudan a solucionar los problemas relacionados con inyección SQL.
Sophie Curtis, Techworld.com