Los navegadores que utilizamos en WWW no dejan de depararnos sorpresas. Esta vez Vinod Anupam, investigador de los laboratorios Bell, ha detectado un defecto en la seguridad de los browsers que soportan JavaScript (MSIE 3.0, Netscape 2.x, 3.x) es decir, millones de navegadores que incluyen JavaScript en todo el mundo). El problema fue comunicado a Netscape, Microsoft y el CERT a finales de Junio, y permite que un sitio web pueda monitorizar las actividades del usuario, permitiendo obtener los datos confidenciales que este suministre en sus visitas posteriores a otros sitios (donde puede rellenar un formulario, efectuar una compra,...) al realizar una búsqueda, dar una URL, etc... Para ello se introduce en el browser del visitante un programa tipo Caballo de Troya que pasa desapercibido para el usuario. Los sistemas de seguridad web habituales -como SHTTP- no evitan el problema, ya que los datos pueden ser tomados incluso antes de cifrarse. El defecto parece que radica en el propio diseño del lenguaje JavaScript y en su modelo de seguridad, por lo que resulta difícil de solventar por completo sin cambiar sus especificaciones.

¿Solución? La más radical, desactivar JavaScript (no es broma: es la solución recomendada por el CERT mientras no se solvente la cuestión). La más conservadora, proveerse de los parches necesarios. Pero esta vez los parches están dando más problemas de los previstos; el primero que sacó Netscape para la navigator 3.02 seguía sin resolver el fallo (además, no habrá parches para versiones inferiores). Se espera otro parche más efectivo para la 3.02 esta misma semana.

Para colmo de males, se ha notificado otro bug en la misma línea que afecta también al Communicator, lo que ha obligado a Netscape a sacar una nueva versión: la 4.01a.

Dan Brumleve tiene un sitio de demostración en: http://www.aleph2.com/tracker/.

Más información en:

http://www.news.com/News/Item/0%2C4%2C12282%2C00.html?nd

http://www.news.com/News/Item/0%2C4%2C12347%2C00.html?nd

http://www.news.com/News/Item/0%2C4%2C12535%2C00.html?nd

Para hacerme llegar tus comentarios, sugerencias o si deseas colaborar con esta página, por favor, envíame un E-mail a marqueze (arroba) marqueze.net Web: http://www.marqueze.net