Esta web usa cookies propias y de terceros para mejorar tu experiencia de navegación y realizar tareas de análisis. Al continuar con tu navegación entendemos que das tu consentimiento a nuestra política de cookies.

MY NEW STATIC BLOG. WHY? BECAUSE FUCK YOU, THAT'S WHY!




La seguridad es buena y necesaria. Todos tenemos una puerta en casa con cerrojo, algunos incluso alarma. Lo que no es muy normal es pedirle el dni a tu madre antes de dejarle entrar...

Ahora nos vamos al terreno de los navegadores web. Pero antes mira disimuladamente a tu alrededor, alguien podría estar espiándote. Bien, imagina que quieres hacer algo que no permite un navegador, ya sabes, alguna cosa rara como acceso a dispositivos (impresora de tickets). El navegador no lo permite. No te preocupes, google si que permite código nativo en el navegador, se llama nacl. Con eso puedes hacer una aplicación que haga eso que el navegador no puede hacer ... bueno, siempre y cuando no suponga un problema de seguridad, como por ejemplo el acceso a dispositivos. Es decir, puedes usar código nativo para hacer todo lo que no te permite el navegador ... excepto para esas cosas que no te permite el navegador.

No pasa nada. Puedes crear una aplicación de verdad, en python, C++ o el lenguaje que quieras. Y luego sólo necesitas que tu web avise de alguna manera a esa app. Por ejemplo puedes montar un pequeño webserver en esa app y que tu web tenga un iframe apuntando a localhost. Así cuando se carga la web se llama a tu app.

Es una solución ingeniosa ¿No? Ahora mira la url de esta página ¿Es neorazorx.com? Vale, pero ¿Es realmente mi blog? ¿O alguien te la está colando? Quizás alguien ha montado un proxy transparente en la red y esta entrada no la he escrito yo ... o quizás solo pretendo transmitirte mi cabreo contra la paranoia.

Lo que todavía no sabes es que si accedes a tu web por https, ese iframe a localhost también tendrá que estar en https. Y para usar https tienes que poner un certificado de seguridad, que no puedes firmar tú mismo ... y para hacer una cosa tan sencilla como avisar a una aplicación local del momento para hacer algo, te encuentras una auténtica tormenta de problemas de seguridad.

Podemos olvidarnos de la web y que la app consulte periódicamente al servidor para ver si hay que hacer algo ¿Con qué frecuencia? ¿Cada minuto? ¿Cada 30 segundos? ¿Cuanta gente va a usar esa app? ¿1? ¿100? ¿1000? Enhorabuena, acabas de hacerte un ataque de denegación de servicio a ti mismo.

Vale, pues en lugar de consultar al servidor continuamente, podemos hacerlo solamente cuando el usuario escribe algo. Enhorabuena, acabas de crear un keylogger que los antivirus detectarán y eliminarán.

Pues entonces leemos las urls que consulta el navegador y cuando sea la que queremos, actuamos. Enhorabuena, acabas de crear un sniffer...

Si encuentras una solución que no sea un problema de seguridad, avisa ;-)
comments powered by Disqus

Powered by PussyPress.