Comentarios en: XSS Cross-site Scripting (II) http://www.securityartwork.es/2008/12/09/xss-cross-site-scripting-ii/ Blog de Seguridad de la Información de S2 Grupo Sat, 11 Feb 2012 01:33:51 +0100 http://wordpress.org/?v=2.8.4 hourly 1 Por: Alberto Hervalejo http://www.securityartwork.es/2008/12/09/xss-cross-site-scripting-ii/comment-page-1/#comment-573 Alberto Hervalejo Fri, 19 Dec 2008 11:28:43 +0000 http://www.securityartwork.es/2008/12/09/xss-cross-site-scripting-ii/#comment-573 Muy buena explicación :) Una vez intenté aprender en que consistía, y menudo lío. Gracias :) Muy buena explicación :) Una vez intenté aprender en que consistía, y menudo lío. Gracias :)

]]> Por: xavim http://www.securityartwork.es/2008/12/09/xss-cross-site-scripting-ii/comment-page-1/#comment-556 xavim Wed, 10 Dec 2008 08:49:16 +0000 http://www.securityartwork.es/2008/12/09/xss-cross-site-scripting-ii/#comment-556 Después del batacazo de Vista (!?), está claro que al usuario medio no le gustan los avisos incordiantes que aparecen como pop-ups o como sea. Coincido que la responsabilidad es de los desarrolladores pero este riesgo siempre va a existir, con lo cual hay que vivir con ello y una de las posibles soluciones es contar con otro desarrollador que haga un plugin para tu navegador web, pero de momento no es transparente al usuario (de hecho dos de los plugins anteriores son testing o alpha). Alicia tendrá que seguir pendiente de la Reina de Corazones. Después del batacazo de Vista (!?), está claro que al usuario medio no le gustan los avisos incordiantes que aparecen como pop-ups o como sea.

Coincido que la responsabilidad es de los desarrolladores pero este riesgo siempre va a existir, con lo cual hay que vivir con ello y una de las posibles soluciones es contar con otro desarrollador que haga un plugin para tu navegador web, pero de momento no es transparente al usuario (de hecho dos de los plugins anteriores son testing o alpha).

Alicia tendrá que seguir pendiente de la Reina de Corazones.

]]> Por: mjuan http://www.securityartwork.es/2008/12/09/xss-cross-site-scripting-ii/comment-page-1/#comment-555 mjuan Tue, 09 Dec 2008 18:03:40 +0000 http://www.securityartwork.es/2008/12/09/xss-cross-site-scripting-ii/#comment-555 Claro que puede bloquear la ejecución de scripts, salvo en sitios de confianza, pero no acabo de ver a un "usuario medio" de la red instalándose ese plugin, ni gestionando la lista blanca de sitios de confianza (¿en base a qué criterio?), ni sabiendo lo que es XSS, etc. En mi opinión, es más de lo que se debe pedir que sepan hacer los usuarios. Y encima, si la web de confianza tiene la vulnerabilidad, ¿cómo se le queda el cuerpo a Alicia? Creo que la responsabilidad es de los desarrolladores. Lo de la máquina virtual por sitio web es buena idea (capto la ironía ;-P), pero luego querremos que se comuniquen entre ellas y volveremos a estar donde antes. Claro que puede bloquear la ejecución de scripts, salvo en sitios de confianza, pero no acabo de ver a un “usuario medio” de la red instalándose ese plugin, ni gestionando la lista blanca de sitios de confianza (¿en base a qué criterio?), ni sabiendo lo que es XSS, etc. En mi opinión, es más de lo que se debe pedir que sepan hacer los usuarios. Y encima, si la web de confianza tiene la vulnerabilidad, ¿cómo se le queda el cuerpo a Alicia?

Creo que la responsabilidad es de los desarrolladores.

Lo de la máquina virtual por sitio web es buena idea (capto la ironía ;-P), pero luego querremos que se comuniquen entre ellas y volveremos a estar donde antes.

]]> Por: xavim http://www.securityartwork.es/2008/12/09/xss-cross-site-scripting-ii/comment-page-1/#comment-554 xavim Tue, 09 Dec 2008 17:45:34 +0000 http://www.securityartwork.es/2008/12/09/xss-cross-site-scripting-ii/#comment-554 Bueno, puede que Alicia pueda hacer algo, si utiliza Firefox :-) LocalRodeo -> Evita la redirección de un portal original a otro mediante la ejecución no deseada de un código javascript. https://addons.mozilla.org/es-ES/firefox/addon/5055 NoScript -> Esta utilidad permite bloquear la ejecución de cualquier tipo de script permitiendo solo aquellos que provengan de ciertos dominios de confianza de esta forma se evitan ataques por XSS (sig) https://addons.mozilla.org/es-ES/firefox/addon/722 Firekeeper -> Is an Intrusion Detection and Prevention System for Firefox. It is able to detect, block and warn the user about malicious sites. Firekeeper uses flexible rules similar to Snort ones to describe browser based attack attempts. http://firekeeper.mozdev.org/ Aunque este último no parece tener mucho movimiento ... Por supuesto, si Alicia configura cierta página web como de confianza pero resulta vulnerable ... -> Navegación segura en base a máquinas virtuales - ¡Una máquina virtual para cada página web que visitas y tendrás a salvo tus datos! Bueno, puede que Alicia pueda hacer algo, si utiliza Firefox :-)

LocalRodeo -> Evita la redirección de un portal original a otro mediante la ejecución no deseada de un código javascript.
https://addons.mozilla.org/es-ES/firefox/addon/5055

NoScript -> Esta utilidad permite bloquear la ejecución de cualquier tipo de script permitiendo solo aquellos que provengan de ciertos dominios de confianza de esta forma se evitan ataques por XSS (sig)
https://addons.mozilla.org/es-ES/firefox/addon/722

Firekeeper -> Is an Intrusion Detection and Prevention System for Firefox. It is able to detect, block and warn the user about malicious sites. Firekeeper uses flexible rules similar to Snort ones to describe browser based attack attempts.
http://firekeeper.mozdev.org/

Aunque este último no parece tener mucho movimiento …

Por supuesto, si Alicia configura cierta página web como de confianza pero resulta vulnerable … -> Navegación segura en base a máquinas virtuales – ¡Una máquina virtual para cada página web que visitas y tendrás a salvo tus datos!

]]>