15 octubre, 2008

Salvando la web del ClickJacking

El gurú Douglas Crackford hace referencia a esta entrada (traducción) sobre el reciente fenómeno conocido como ClickJacking en el que acertadamente se indica por qué pasa y cómo resolverlo.

En resumen, los ataques de Cross-site Request Forgery (del que se podría considerar que el clickJacking es un subconjunto) vienen del hecho de que la información de usuario esté disponible directamente y sin ningún control de acceso tanto si la solicita el mismo usuario como si lo hace cualquier desarrollador de páginas visitables.

Todos los problemas conocidos hasta el momento y derivados de esta falta de control pueden solucionarse fácilmente si para mostrar cualquier página el servidor web requiere un token de seguridad generado por una página anterior del mismo sitio y con una validez limitada, de forma que la URL de acceso a las páginas no sea adivinable. Las soluciones que se están planteando no atacan la raíz del problema por lo que de no hacerse correctamente, es probable que sigan apareciendo otros agujeros de seguridad del mismo tipo.

Publicar un comentario en la entrada

Últimos links en indiza.com