COWL o "Confinement with Origin Web Labels", es un nuevo tipo de sandbox para navegadores desarrollado por investigadores de la University College London, Stanford, Chalmers, Google y Mozilla. Protege los datos y credenciales del usuario de filtraciones por terceros. COWL estará disponible para su descarga el 15 de octubre en cowl.ws, y debería estar disponible en Chrome y Firefox en un plazo de pocos meses, una vez que sus respetivos equipos hayan validado el código completamente. Traducción en#1.
Aunque algunas compañías están haciendo todo lo posible por mejorar la situación, la red está aún lejos de ser un lugar seguro. Hace algunos años, algunos navegadores, como Chrome, comenzaron ofreciendo un sistema sandbox para contener diferentes páginas web y no permitir que una página secuestrada atacara a otra.
Esto ha llevado a Chrome a puntuar entre los mejores cuando se analiza la seguridad de navegadores en los concursos de hacking como Pwn2Own. Sin embargo, este tipo de sandboxing se ha enfocado mayormente en separar completamente las pestañas para que no se pusieran en peligro unas a otras, pero no ayuda a proteger los datos del usuario del código no confiable que esté siendo usado en una web de confianza.
El problema de ofrecer a los usuarios privacidad a la vez que se da a los desarrolladores flexibilidad para sus aplicaciones web ha sido descrito como "uno de los desafíos clave en la investigación en seguridad de sistemas de computación", según el profesor de la UCL (University College London) Brad Karp.
Afortunadamente, hay ahora una solución denominada COWL (Confinement with Origin Web Labels por sus siglas en inglés). COWL ha sido desarrollado por investigadores de la University College London, Stanford, Chalmers, Google y Mozilla.
El profesor Karp, lo describe a continuación:
"El nuevo sistema provee una propiedad conocida como confinamiento, que se conoce desde los años 70, pero de difícil aplicación en sistemas prácticos como navegadores. COWL confina programas en JavaScript que corren en el navegador, como si de pestañas separadas se tratara. Si un programa JavaScript incrustado en una web lee información que provee otra web (de manera legítima o no), COWL permite que los datos se compartan, pero a partir de ahí restringe a la aplicación que recibe la información que pueda comunicarla a terceros no autorizados. Como resultado, la página que comparte los datos mantiene control sobre ellos, incluso después de haber compartido la información dentro del navegador".
Los desarrolladores necesitarán utilizar algo llamado "labels" para compartimentar el código dentro de una página, asegurando que los datos sensibles del usuario no sean filtrados. Incluso cuando cookies de terceros, como una librería, accedan a los datos del usuario, no tendrán acceso de red a webs que no tengan el visto bueno. Ahora mismo, las dos opciones para un desarrollador son, o no utilizar ciertas funcionalidades de terceros, o arriesgar a que el código de terceros robe datos de los usuarios.
Los investigadores pusieron el ejemplo de una aplicacion web de un tercero que pudiera monitorizar las compras de un usuario en Amazon con el fin de verificar si le han cobrado de más, win que la aplicación web conozca las credenciales del usuario en Amazon:
"Por ejemplo, una aplicación web útil podría permitir a los usuarios comprobar que no están siendo cobrados de más por artículos que han pedido en Amazon. La aplicación, tendría que extraer información del extracto del banco y de Amazon, cuadrarlos, y presentar el resultado en el navegador.
Para hacer esto, un desarrollador web necesitaría escribir código que integrara datos de la web del banco con datos de la web de Amazon, pero el SOP (Standard Operating Procedure) lo bloquearía, dado que las dos fuentes de datos están alojadas en dominios diferentes. Los desarrolladores web solventan esto a día de hoy escribiendo una aplicación que pregunta al usuario sus credenciales de login para el banco y para Amazon, para poder conectarse a ambos servicios y recopilar información como si fuera el usuario. Esto compromete la privacidad del usuario claramente, ya que el proveedor de la aplicación obtiene acceso completo al sistema bancario del usuario y a su cuenta de Amazon".
Los investigadores trabajando en COWL creen que este sistema ofrece una solución en la que tanto usuarios como desarrolladores salen ganando. Los usuarios se benefician de una mayor privacidad y un menor riesgo de robo de credenciales, mientras que a los desarrolladores se les permite crear aplicaciones con mayores prestaciones sin poner los datos de los usuarios en riesgo.
COWL estará disponible para su descarga el 15 de octubre en cowl.ws, y debería estar disponible en Chrome y Firefox en un plazo de pocos meses, una vez que sus respetivos equipos hayan validado el código completamente.
Precisamente a esto tiende Firefox, en sus nuevas versiones. A intentar aislar procesos de tal forma que unos no interfieran con los otros y proteger cada uno de estos. De tal manera que si se atacase uno, el resto quedarían intactos.
Comentarios
Aunque algunas compañías están haciendo todo lo posible por mejorar la situación, la red está aún lejos de ser un lugar seguro. Hace algunos años, algunos navegadores, como Chrome, comenzaron ofreciendo un sistema sandbox para contener diferentes páginas web y no permitir que una página secuestrada atacara a otra.
Esto ha llevado a Chrome a puntuar entre los mejores cuando se analiza la seguridad de navegadores en los concursos de hacking como Pwn2Own. Sin embargo, este tipo de sandboxing se ha enfocado mayormente en separar completamente las pestañas para que no se pusieran en peligro unas a otras, pero no ayuda a proteger los datos del usuario del código no confiable que esté siendo usado en una web de confianza.
El problema de ofrecer a los usuarios privacidad a la vez que se da a los desarrolladores flexibilidad para sus aplicaciones web ha sido descrito como "uno de los desafíos clave en la investigación en seguridad de sistemas de computación", según el profesor de la UCL (University College London) Brad Karp.
Afortunadamente, hay ahora una solución denominada COWL (Confinement with Origin Web Labels por sus siglas en inglés). COWL ha sido desarrollado por investigadores de la University College London, Stanford, Chalmers, Google y Mozilla.
El profesor Karp, lo describe a continuación:
"El nuevo sistema provee una propiedad conocida como confinamiento, que se conoce desde los años 70, pero de difícil aplicación en sistemas prácticos como navegadores. COWL confina programas en JavaScript que corren en el navegador, como si de pestañas separadas se tratara. Si un programa JavaScript incrustado en una web lee información que provee otra web (de manera legítima o no), COWL permite que los datos se compartan, pero a partir de ahí restringe a la aplicación que recibe la información que pueda comunicarla a terceros no autorizados. Como resultado, la página que comparte los datos mantiene control sobre ellos, incluso después de haber compartido la información dentro del navegador".
Los desarrolladores necesitarán utilizar algo llamado "labels" para compartimentar el código dentro de una página, asegurando que los datos sensibles del usuario no sean filtrados. Incluso cuando cookies de terceros, como una librería, accedan a los datos del usuario, no tendrán acceso de red a webs que no tengan el visto bueno. Ahora mismo, las dos opciones para un desarrollador son, o no utilizar ciertas funcionalidades de terceros, o arriesgar a que el código de terceros robe datos de los usuarios.
Los investigadores pusieron el ejemplo de una aplicacion web de un tercero que pudiera monitorizar las compras de un usuario en Amazon con el fin de verificar si le han cobrado de más, win que la aplicación web conozca las credenciales del usuario en Amazon:
"Por ejemplo, una aplicación web útil podría permitir a los usuarios comprobar que no están siendo cobrados de más por artículos que han pedido en Amazon. La aplicación, tendría que extraer información del extracto del banco y de Amazon, cuadrarlos, y presentar el resultado en el navegador.
Para hacer esto, un desarrollador web necesitaría escribir código que integrara datos de la web del banco con datos de la web de Amazon, pero el SOP (Standard Operating Procedure) lo bloquearía, dado que las dos fuentes de datos están alojadas en dominios diferentes. Los desarrolladores web solventan esto a día de hoy escribiendo una aplicación que pregunta al usuario sus credenciales de login para el banco y para Amazon, para poder conectarse a ambos servicios y recopilar información como si fuera el usuario. Esto compromete la privacidad del usuario claramente, ya que el proveedor de la aplicación obtiene acceso completo al sistema bancario del usuario y a su cuenta de Amazon".
Los investigadores trabajando en COWL creen que este sistema ofrece una solución en la que tanto usuarios como desarrolladores salen ganando. Los usuarios se benefician de una mayor privacidad y un menor riesgo de robo de credenciales, mientras que a los desarrolladores se les permite crear aplicaciones con mayores prestaciones sin poner los datos de los usuarios en riesgo.
COWL estará disponible para su descarga el 15 de octubre en cowl.ws, y debería estar disponible en Chrome y Firefox en un plazo de pocos meses, una vez que sus respetivos equipos hayan validado el código completamente.
Precisamente a esto tiende Firefox, en sus nuevas versiones. A intentar aislar procesos de tal forma que unos no interfieran con los otros y proteger cada uno de estos. De tal manera que si se atacase uno, el resto quedarían intactos.
Salu2