20 feb 2019

Nuevas funciones en Chrome: detector de modo incógnito y XSS

Google Chrome no permitirá que las páginas detecten si el usuario navega en modo incógnito o no y bloqueará este tipo de sitios.Además en las próximas versiones se trabajará en una nueva características para bloquear DOM XSS.

Chrome bloqueará las páginas que detecten que estamos en modo de incógnito

El modo incógnito o privado permite evitar el rastreo, que nuestros datos queden registrados, etc.Esto también puede evitar ser rastreados por anunciantes. Seguro que en alguna ocasión hemos buscado  algún producto para comprar o mirado un vuelo y a partir de ese momento vemos publicidad relacionada por todas partes. Si entramos en modo incógnito, al menos en teoría, no queda registro alguno.

La cuestión es que muchos sitios utilizan métodos para detectar si un usuario navega en modo de incógnito o no. Todo a través de un truco, por decirlo de alguna manera, al utilizar una API que detecta si el sistema de archivos está activo o no y, por tanto, si el modo incógnito está activado.

Lo que busca ahora Google Chrome es bloquear los sitios que recurran a este método para detectar si los usuarios navegan o no en modo de incógnito. Esto lo va a lograr al crear un sistema de archivos virtual, en vez del sistema de archivos tradicional.

Google Chrome bloqueará los sitios que puedan detectar si navegamos o no en modo de incógnito. Pero esto llegará de forma progresiva. Está previsto que esta nueva función llegue a Google Chrome 74. Sin embargo vendrá como opción. Los usuarios podrán configurarla o no según quieran.

Habrá que esperar un poco más, previsiblemente hasta Google Chrome 76, para que esta nueva característica venga activada de forma predeterminada. En este caso estará disponible siempre que iniciemos el navegador.

Google anuncia Trusted Types para evitar DOM XSS

Google anuncia Trusted Types, una nueva API que luchará para que los problemas de XSS en el DOM no tengan efecto en Chrome. Los problemas de XSS en el DOM implican unas 60 funciones o propiedades susceptibles de interpretar contenido externo y sufrir de XSS en el DOM. Los desarrolladores deben prevenir estos problemas antes de llamarlas pero no todos lo consiguen.

Los administradores podrán añadir la cabecera: Content-Security-Policy: trusted-types *
Y esto hará que cualquier intento de inyección de strings en esas funciones provoque un error y el XSS no sea posible. El programador deberá crear tipos Trusted Types para interactuar de forma segura con las funciones potencialmente peligrosas.

Fuente: Google | RedesZone
a las

No hay comentarios.:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!