Seguridad web y componentes del navegador

Componentes del navegador

• DOM (Document Object Model): Interfaz de programación para documentos HTML, XML y SVG. Proporciona una representación jerárquica del documento HTML como un grupo estructurado de nodos y objetos que poseen propiedades y métodos. Incluye BOM (Browser Object Model).
• Scripting en el cliente: Con DOM, proporciona HTML dinámico y permite el intercambio de datos con el servidor sin recargar la página.
• CSS (Cascading StyleSheets)
• Cookies: Almacenan el estado en el cliente y se utilizan principalmente para tres propósitos: gestión de sesiones, personalización y promocional.

Protocolo HTTP

• Es un protocolo sin estado, lo que significa que el servidor web no recuerda nada sobre conexiones previas.
• La necesidad de guardar el estado da lugar a la necesidad de cookies y el concepto de sesión.

Seguridad en el navegador

• Vulnerabilidad: La posibilidad de que desde un sitio web se puedan cargar y acceder a recursos (iframe, cookies, DOM, …) de otros sitios sin autorización.
• Solución: Política del mismo origen (Same-Origin Policy, SOP): evita que un recurso perteneciente a un "origen" pueda modificar las propiedades o atributos de otro recurso de un "origen" diferente.

Cross-Site Scripting (XSS)

• Un atacante inyecta código script en páginas generadas por una aplicación web.
• Explota la confianza que tiene el navegador en un sitio particular.
• Métodos para inyectar código malicioso:
  • De servidor: XSS reflejado (“tipo 1”) y XSS almacenado (“tipo 2”).
  • De cliente: XSS basado en DOM (“tipo 0” o XSS de cliente).

Objetivos de la seguridad web

• Navegar por la web de forma segura.
• Soportar aplicaciones web seguras.

Qué implica la seguridad web

• Seguridad del servidor.
• Seguridad de las aplicaciones web.
• Seguridad en el modelo de navegador.
• Seguridad en el protocolo http.
• Gestión de autenticación y sesión.