Mozilla bloqueara la carga de datos URIs en la barra de navegación de Firefox como parte de una ofensiva contra los sitios de phishing que abusan de este protocolo.
Si eres un diseñador de paginas webs y trabajas con html5 css3 y javascript, este aritulo te interesa bastante, sobre todo lo indicado al final del articuloz
Los datos esquema URI se lanzo en 1998 cuando los desarrolladores estaban buscando maneras de incorporar archivos en otros archivos. Lo que ocurrió fue que los datos esquema URI permite a los desarrolladores cargar un archivo representado como un flujo de octetos codificada en ASCII dentro de otro documento.Desde entonces, el esquema URI se ha vuelto muy popular entre los desarrolladores de sitios web, ya que les permite incrustar archivos o imagen (PNG, JPEG) dentro de los documentos HTML en lugar de cargar cada recurso a través de una petición HTTP independiente basado en texto (CSS o JS).
Esta práctica se hizo muy popular porque los motores de búsqueda comenzaron clasificación de sitios web basados en su página de la velocidad de carga y cuanto más solicitudes HTTP de un sitio web hecho, más lento se ha cargado, y cuanto más se ven afectados posición SERP de un sitio.
Aqui teneis un ejemplo de datos URI indicado anteriormente img src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO9TXL0Y4OHwAAAABJRU5ErkJggg==" alt="Red dot"
A finales del 2000, los investigadores de seguridad se dieron cuenta de que URIs de datos también podrían ser utilizadas erróneamente para phishing y XSS (cross-site scripting) ataques, una técnica que más tarde se perfeccionó y se explica mejor en el año 2012 por un investigador de la Universidad de Oslo en Noruega .
Desde entonces, el phishing basada en URI de datos se ha convertido en un lugar común, con varias campañas de phishing que utilizan esta táctica, incluso incorporado en estafas de soporte técnico.
Los casos que más se abusa son "data: text/html; base64" y "datos:application/x-javascript; base64" URI, que proporcionan una manera de integrar HTML malicioso y código JavaScript dentro de los sitios legítimos.
Los navegadores comienzan a bloquear URIs de datos para fines de navegación
Estos URIs de datos también se pueden cargar dentro de la barra de navegación del navegador para hacer que el archivo directamente y, a continuación, utilizar el código malicioso adicional para ocultar la URL real.Un esquema de URL que una vez fue desarrollado para "incrustar archivos en otros archivos" se convirtió en un "método de navegación" en los navegadores modernos.
Los navegadores como Google Chrome y Microsoft Edge vieron al abuso y actuaron bloqueamdo la carga de URIs de datos dentro de la barra de navegación de URL. Ahora, Mozilla está haciendo lo mismo para Firefox.
Firefox Chrome y se une a Edge en el bloqueo de URIs de datos de navegación
"Sólo queremos bloquear de datos de navegación de URI de alto nivel que se utilizan principalmente para la suplantación de identidad", dijo Christoph Kerschbaumer, uno de los ingenieros de Mozilla que han trabajado en esta nueva característica de seguridad. "No veo ningún caso de uso real para dichas navegaciones (además de los intentos de phishing reales)."Firecox en la version 59 planea lanzar una serie de características de seguridad que impidan la prestación de HTML peligroso, JS, y URIs de datos SVG en ciertos escenarios:
- Un enlace URL datos en una página se hace clic manualmente o mediante programación
- Una página intenta cargar una URL datos a través de funciones de JavaScript, como
location.href, location.assign() o location.replace() - Una página que intenta cargar un dato URL en una nueva pestaña con el método
window.open()de JavaScript - Contenido interno de un marco intenta cargar una URL en la ventana de datos de nivel superior o en una nueva pestaña
- URIs de datos que hacen que las imágenes no SVG, PDF, JSON y archivos de texto plano no se verán afectados, ya que no pueden ser utilizados para ataques de phishing.
- Un usuario manualmente los tipos de una URL de datos en la barra de direcciones para intenta cargar el contenido
- Una página intenta cargar una URL datos en un frame o iframe
- Una página utiliza una URL de datos para una imagen u otros activos
- Una página desencadena un archivo de datos descarga
