Usando CSP para incrementar la seguridad de tu sitio web

Hacía ya algún tiempo venía manejando la idea de implementar CSP en mi blog de WordPress. CSP -o Content Security Policy, por sus siglas en inglés- es un estándar que define un conjunto de orígenes pre-aprobados desde los que un navegador puede cargar recursos cuando visita un sitio web. Ayuda a prevenir ataques de Cross Site Scripting (XSS), data injection, entre otros. Cuando el navegador visita un sitio web tiene que cargar fuentes, hojas de estilo, imágenes, scripts, etc. Por ejemplo, este blog utiliza la fuente Open Sans de Google por lo que cada vez que alguien lo visite su navegador estará haciendo una llamada hacia el dominio fonts.googleapis.com. También utiliza las fotos de perfil de Gravatar, a través de secure.gravatar.com. Y así con el resto de los recursos. Para habilitar CSP, el sitio web debe enviar un encabezado HTTP especial llamado Content-Security-Policy (también conocido como X-Content-Security-Policy). Como alternativa al encabezado HTTP se puede implementar CSP utilizando la etiqueta <meta>. Por ejemplo: Podríamos decir que CSP es una suerte de lista blanca de orígenes y, por ende, una forma de prevenir ataques por inyección de código malicioso. Cada plataforma web tiene su forma de manejar los encabezados HTTP. Para WordPress, por ejemplo, …

Read moreUsando CSP para incrementar la seguridad de tu sitio web

Microsoft explica el funcionamiento de DNT en IE10

Photo by Markus Spiske on Unsplash

Ya es oficial que el próximo 26 de octubre Windows 8 estará disponible para usuarios finales. Mientras tanto, esta semana comenzaron a entregarse los kits OEM a los principales fabricantes de hardware (HP, Lenovo, Dell, Asus, Sony, entre otros) y a partir de la semana próxima estará disponible la versión RTM (Release To Manufacturing) para aquellos poseedores de suscripciones de licenciamiento por volumen como TechNet y MSDN.

Brendon Lynch, Chief Privacy Officer de Microsoft, explicó esta tarde a través de un blog post el significado y funcionamiento de la característica DNT, disponible en Internet Explorer 10.

DNT (Do Not Track, por sus siglas en inglés) es una nueva característica de la versión 10 de Internet Explorer, que ya se encuentra disponible de manera nativa en los sistemas con Windows 8 y en fase de Test Drive para sistemas con Windows 7. Al respecto, Lynch aseguró que una de las principales preocupaciones de Microsoft en estos momentos es la privacidad de sus usuarios, por lo que han decidido activar esta característica de manera predeterminada en el nuevo sistema operativo del gigante de la informática.

DNT se activa junto con la ‘Configuración Rápida’ durante la instalación de Windows 8″, aseguró Lynch. Aquellos usuarios que hayan seleccionado la opción de ‘Configuración Personalizada’ podrán optar por activar o no las señales DNT en sus sistemas operativos.

¿Qué son las señales DNT?

Read moreMicrosoft explica el funcionamiento de DNT en IE10

¿Qué es la SOPA?

Photo by Markus Spiske on Unsplash

Seguramente han oído hablar mucho en estas últimas semanas sobre la SOPA. Y cuando digo SOPA no me refiero a la horrenda y detestable infusión que nuestros padres nos hacen ingerir de pequeños.

SOPA va mucho más alla de ese caldo caliente, a veces acompañado por arroz o fideos con formas extrñas. Stop Online Piracy Act, por sus siglas en inglés o, Ley de Cese a la Piratería en Línea, es un proyecto de ley propuesto originalmente por el representante Lamar Smith, de la Cámara de Representantes de los Estados Unidos. Esta ley le da el poder al Gobierno de los Estados Unidos de bloquear el acceso a cualquier sitio a través de del sistema de nombres de dominio (DNS), o de obligar a los proveedores de servicios de búsqueda (Google, Bing, entre otros) a removerlo de los resultados de búsqueda o de frenar todo tipo de transacción financiera relacionada con el sitio en cuestión. O todas las anteriores.

La ley SOPA le cortaría a cualquier sitio su posicionamiento, su tráfico y sus ingresos con el mismo sistema que se usa en Iran, en China, etc. (del blog de Mariano Amartino, uberbin.net)

Para entender un poco más esta cuestión, pongamos un ejemplo: ¿A todos nos gusta cantar frente al espejo, verdad? ¿Pero qué tal si decido grabarme mientras interpreto el último hit de Michel Teló, “Ai Se Eu Te Pego” y luego publico el video en mi blog? Gracias a la ley SOPA, ese contenido que colgué de la red, así como mi blog en toda su extensión, podrían desaparecer en cuestión de días. ¿Te preguntas por qué?

La ley SOPA entiende que yo no le estoy pagando a Michel Teló, el artista, los derechos de autor y propiedad intelectual que manda la ley. ¿Estúpido, no?

Read more¿Qué es la SOPA?

Lo nuevo en Firefox!

Photo by Markus Spiske on Unsplash

Lectores,

Mozilla ha publicado su nueva versión 3.0.6 de Firefox, abandonando ya la rama 2.x. En esta nueva versión se corrigen diversas vulnerabilidad, tanto de seguridad como de aplicación e interfaz.

Entre ellas, podemos mencionar:

Bajas:
* Las directivas con las que las páginas indican que no deben ser cacheadas no eran aplicadas.
* Se podían leer las cookies HTTPOnly con XMLHttpRequest.

Moderadas:
* Elevación de privilegios en Chrome a través de ficheros .desktop.

Altas:

Read moreLo nuevo en Firefox!

GMail ya puede utilizarse off line

Photo by Markus Spiske on Unsplash

Buenas noticias! GMail ha anunciado en su blog que los usuarios podrán acceder a su correo electrónico sin necesidad de estar conectados a internet, pero es necesario tener instalado el sistema Google Gears. Los usuarios pueden tanto leer como enviar nuevos correos. Google Gears, funciona como Outlook; cuando el usuario se conecta a Internet, se descargan los correos nuevos, y puede responder o enviar nuevos mensajes estando off line, que se enviarán una vez reanudada la conexión a la red. Puede descargarse de gears.google.com/ y está disponible para los Microsoft, Mac y Linux y para los navegadores Microsoft Explorer, Mozilla y Safari. El servicio aún se encuentra en fase de prueba y en principio estará disponible para las cuentas británicas y estadounidenses. Enhorabuena!!!

Un plugin de Firefox infectado con adware es distribuido desde el sitio oficial

Photo by Markus Spiske on Unsplash

El plugin del idioma vietnamita para Firefox 2, ha sido distribuido
desde el sitio oficial (y desde febrero) infectado con adware. Window
Snyder, responsable de seguridad de Mozilla, ha dicho “todo el que haya
descargado una copia del paquete de idioma vietnamita desde el 18 de
febrero, está infectado”.

Xorer, el malware en cuestión, había incrustado su carga en el paquete
oficial de idioma vietnamita en febrero. Los responsables de Mozilla
tuvieron noticia del problema el martes pasado. Al parecer, la red local
del autor del plugin estaba infectada, y los archivos fueron subidos al
servidor oficial contaminados con los efectos de Xorer (estos efectos
son válidos bajo cualquier sistema operativo, no limitado a los usuarios
de Windows), y no con el malware en sí (que se dedica a distribuir los
scripts y es sólo para Windows). Al menos, esto impide en un principio
que los usuarios que hayan descargado el plugin puedan distribuir el
adware inmediatamente (a no ser que este cargue un nuevo módulo).

¿Cómo se infecta un plugin de Firefox?

Read moreUn plugin de Firefox infectado con adware es distribuido desde el sitio oficial