Componente de segurança do Internet Explorer deixa sites vulneráveis.

sábado, 24 de abril de 2010

Entre seus recursos de segurança, o Internet Explorer possui um filtro de XSS. Ataques de XSS dificilmente são considerados graves, mas isso vem mudando com casos como o da Fundação Apache Software, invadida por meio de uma falha de XSS. O Internet Explorer 8 tenta identificar um ataque de XSS e alterar o conteúdo da página para neutralizá-lo.

Ataques de XSS ocorrem quando um indivíduo mal-intencionado é capaz de injetar código na página web vista pelo internauta. Isso pode acontecer em principalmente em dois cenários: quando um site permite que o usuário crie conteúdo (como em comentários de blogs ou recados no Orkut) ou quando um link exibe conteúdo na página – como acontece nas páginas de busca, que exibem “Você está pesquisando por X”. “X” foi um conteúdo definido pelo usuário. Se “X” não for adequadamente filtrado, a busca irá executar código no navegador.

Ao alterar a página web para tentar proteger os internautas, o Internet Explorer abre uma nova vulnerabilidade. Um hacker pode “brincar” com o filtro e fazer com que, após a filtragem, o site passe a ser vulnerável. Com isso, sites que não possuem uma falha de XSS passam a ser vulneráveis – e eles nem podem corrigir o problema, porque a falha está no navegador.

Entre os sites que se tornam vulneráveis devido ao filtro do Internet Explorer estão a Wikipedia, o Google, o Twitter e até o Bing, da própria Microsoft.

A Microsoft já lançou duas atualizações para eliminar problemas no filtro de XSS do IE8. No entanto, alguns ainda persistem. Mais uma atualização deve ser lançada para tentar eliminar os problemas restantes.

É dever dos websites filtrar aquilo que é enviado pelos usuários para garantir que a página não envie código ao navegador quando devia enviar apenas texto. Códigos recebidos por um ataque de XSS podem comprometer as credenciais de acesso (login/senha), roubar dados ou até fazer com que o internauta envie mensagens nas redes sociais. “Vírus” de e-mails e redes sociais que funcionam apenas com XSS já foram criados.

A Microsoft acredita que, apesar disso, os navegadores devem incluir algum tipo de filtro também. A empresa argumenta que as defesas são muito mais benéficas do que os riscos que podem ser criados pelo filtro.

Fonte: G1.

0 comentários:

 
 
 

Buscar Ofertas no BondFaro!

Mundi - Seu Buscador de Viagens!

Buscar Ofertas no Cota Cota!

 
Consumidor Virtual® Todos os Direitos Reservados;
Desenvolvimento: Designers TJ