Guia de Seguridad Web en Navegadores

El manual "Browser Security Handbook" tiene como objetivo proporcionar una referencia a desarrolladores web sobre las propiedades y requisitos de seguridad básicos que deben de cumplir los navegadores así como una comparativa de los mismos.

La guía fue publicada por Google en el 2008 y está en constante actualización reflejando las nuevas características y funcionalidades de seguridad que se han ido integrando en los navegadores más predominantes. La falta de comprensión de dichas características o bien la falta de documentación de las mismas son el punto de partida de un número elevado de vulnerabilidades, por lo que, por este motivo, INTECO-Cert recomienda la lectura del mismo tanto a desarrolladores Web como a responsables de seguridad.

La guía está en inglés y está dividida en tres partes, las cuales se citan a continuación:

1. Basic concepts behind web browsers.

2. Standard browser security features.

3. Experimental and legacy security mechanisms.

En la primera parte se ofrece una revisión de las normas fundamentales y las tecnologías existentes detrás de los navegadores actuales así como las propiedades de seguridad más relevantes.

La segunda parte muestra un análisis más detallado de los mecanismos de seguridad además de las restricciones implementadas dentro de los navegadores. Se tratan temas como "Same-origin policy", vulnerabilidades en propiedades DOM, restricciones de red ("Port access restrictions", "URL scheme access rules", "Simultaneous connection limits", etc), métodos de defensa para scripts dañinos, cifrado de comunicaciones, etc.

Por último, en la tercera parte se ofrece un breve resumen de un conjunto de funcionalidades de seguridad implementadas en diversos navegadores en los últimos años, algunas de las cuales ya están en desuso. Además, se mencionan propuestas en curso y mejoras que están siendo incorporadas entre gran parte de los navegadores.

Fuente: INTECO