Hackear aplicaciones web

HTML5

INFORMACIÓN EN ESTE CAPÍTULO:• Novedades de HTML5• Consideraciones de seguridad para el uso y abuso de HTML5El lenguaje escrito se remonta al menos 5000 años a los sumerios, que usaban cuneiformepara cosas como libros de contabilidad, leyes y listas. Ese lenguaje de marcado de piedra original talladoel camino a nuestro moderno lenguaje de marcado de hipertexto. ¿Y qué es un sitio como Wikipedia?sino una colección de leyes de edición bizantinas y listas de episodios de Buffy y Star Trekextraterrestres? Los humanos disfrutamos registrando todo tipo de información con lenguajes escritos.HTML creció en gran medida como estándar basado en implementaciones de facto . Lo que algunos(raramente la mayoría) de los navegadores definieron qué era HTML. Esto significó que el estándarrepresentó un grado del mundo real; si escribió páginas web de acuerdo con las especificaciones, entonceslos navegadores probablemente lo renderizarían como usted deseaba. El inconveniente de laEl desarrollo evolutivo temprano del estándar fue que las páginas no eran tan universales comoellos deberían ser. Los diferentes navegadores tenían peculiaridades diferentes, lo que llevó a notas al pie como,"Se ve mejor en Internet Explorer 4" o "Se ve mejor en mosaico". Quirks también crearonpesadillas de programación para los desarrolladores, que conducen a patrones de diseño deficientes (elpresente el rastreo de User-Agent para determinar las capacidades en lugar de las pruebas de funciones)o dependencia excesiva de complementos (¿recuerdas Shockwave?). El estándar también tenía su propioesquinas polvorientas con las etiquetas de uso poco frecuente ( ), un mal diseño de interfaz de usuario ( e ) o directamente molestos ( y). HTML2 probadopara aclarar ciertas variaciones. Se convirtió en estándar en noviembre de 1995. HTML3 fallófusionarse en algo aceptable. HTML4 llegó en diciembre de 1999.Pasaron ocho años antes de que HTML5 apareciera como borrador público. Tomó otroaño más o menos para ganar tracción. Ahora, cerca de 12 años después de HTML4, la última versión dela norma se está preparando para salir del estado de borrador y convertirse en oficial. Los interviniendoDurante 12 años, la web se convirtió en una parte omnipresente de la vida diaria. Desde la primera televisiónmercial para incluir una URL del sitio web a las OPI de miles de millones de dólares a aspectos más oscuros como las estafasy el crimen que seguirá a cualquier cambio tecnológico o cultural.El camino a HTML5 incluyó el mapa de estándares de facto que el desarrollo webers abrazados desde sus navegadores favoritos. Sin embargo, lo que es más importante, los desarrolladores detrás

RESERVA RESUMEN Y PUNTOS CLAVE DE APRENDIZAJECada uno de los capítulos de este libro presenta ejemplos de diferentes ataques contra la Web.aplicaciones. Se explora la metodología detrás del ataque y se muestra suimpacto potencial. Un impacto puede afectar la seguridad de un sitio o la privacidad de un usuario.Es posible que un hack ni siquiera se preocupe por comprometer un servidor web,centrarse en el navegador. La seguridad web afecta tanto a las aplicaciones como a los navegadores. Despuéstodo, ahí es donde está la información.Luego, el capítulo pasa a explicar posibles contramedidas para diferentesaspectos del ataque. Las contramedidas son una bestia engañosa. Es importante comprenderReconozca cómo funciona un ataque antes de diseñar una buena defensa. Es igualmente importantecomprender las limitaciones de una contramedida y cómo otras vulnerabilidades puedenevitarlo por completo. La seguridad es una propiedad emergente del sitio web; no es una sumamación de protecciones individuales. Algunas contramedidas aparecerán varias veces,otros hacen sólo una breve aparición.

NOTALos navegadores modernos admiten HTML5 en diversos grados. Muchos sitios web utilizan HTML5 de una formau otro. Sin embargo, las normas cubiertas en este capítulo permanecen formalmente en borrador de trabajo.modo. No obstante, la mayoría se ha asentado lo suficiente como para que solo deba haber cambios menores en unAPI de JavaScript o encabezado como se muestra aquí. Los principales principios de seguridad siguen siendo aplicables. 

El estándar consideró cuidadosamente el equilibrio de la implementación histórica conespecificaciones mejor diseñadas. Probablemente la hazaña más impresionante de HTML5 es ladescripción explícita de cómo analizar un documento HTML. Lo que parece una obviaEsta tarea no se implementó de manera consistente en todos los navegadores, lo que llevó a HTML yHacks de JavaScript para evitar peculiaridades o, peor aún, aprovecharlas. Volveremosa algunas de las implicaciones de seguridad de estas peculiaridades en capítulos posteriores, especialmente el Capítulo 2.Este capítulo cubre los nuevos conceptos, preocupaciones y cuidados de HTML5 y susNormas. Aquellos que deseen encontrar ataques rápidos o exploits triviales contra el diseño.de estas normas posteriores quedará decepcionada. La ecosfera de seguridad moderna delos desarrolladores de navegadores, desarrolladores de sitios y evaluadores de seguridad han prestado especial atención aHTML5. Una comparación no científica de HTML4 y HTML5 observa que las palabrasla seguridad y la privacidad aparecen 14 veces y una vez respectivamente en el estándar HTML4.Las mismas palabras aparecen 73 y 12 veces en un borrador actual de HTML5. Mientras es dificilargumentar más menciones significa más seguridad, destaca el hecho de que la seguridad yla privacidad ha ganado más atención e importancia en el proceso de estándares.El nuevo estándar no resuelve todos los posibles problemas de seguridad del navegador.Lo que hace es reducir el comportamiento ambiguo de generaciones anteriores, brindar másorientación sobre prácticas seguras, establecer reglas más estrictas para analizar HTML e introducirduce nuevas funciones sin debilitar el navegador. El beneficio será unas mejores cejas.ing experiencia. El inconveniente serán los errores de implementación y errores como navegadores.compite para agregar soporte para las características y los desarrolladores del sitio las adoptan.EL NUEVO MODELO DE OBJETOS DOCUMENTALES (DOM)Bienvenido a . Esa simple declaración hace que una página web sea oficialmenteHTML5. El W3C proporciona un documento que describe las grandes diferencias entreHTML5 y HTML4 en http://www.w3.org/TR/html5-diff/. La siguiente lista altaenciende cambios interesantes:• es todo lo que necesita. Los navegadores modernos toman esto como una instrucciónadoptar un modo estándar para interpretar HTML. Atrás quedaron los días deargumentos de HTML frente a XHTML y agregar DTD a la declaración de tipo de documento.• UTF-8 se convierte en la codificación preferida. Esta codificación es la más amigableal transporte HTTP mientras se puede mantener la compatibilidad con la mayoríarepresentaciones lingüísticas. Esté atento a los errores de seguridad debidos al carácterconversiones ay desde UTF-8.