Las mismas personas que reportaron el problema de seguridad que involucraba tanto a Internet Explorer como a Firefox, esta vez muestran más vulnerabilidades que no sólo afectan a todas las versiones de Firefox, sino también a Netscape Navigator 9 y Mozilla.
Pruebas de concepto:
Segun el hilo publicado en sla.ckers.org, se vienen más problemas de este tipo.
#1 Mayor claridad en el seguimiento de URL`s
Esto ayudara a identificar mejor las direcciones donde nos encontramos (por así decirlo mejora contra ataques de phishing).
#2 Técnicas de detección de malware & páginas potencialmente peligrosas
En este aspecto Firefox no innova demasiado y ejecutas acciones predeterminadas para ejecutable (para usuarios despistados) y tratamiento sobre controles activeX. Para detección de páginas potencialmente peligrosas Firefox seguirá como desde la versión 1.5. Listara la página que visitemos, la comparara con una lista negra (elaborada en colaboración con google) y si la página esta listada como "negra" automáticamente generara un aviso en forma de ventana emergente como se puede apreciar en la imagen.
#3 Más claridad con los certificados de seguridad (SSL)
Parece ser que este sera el aspecto de la interfaz de FF3 cuando nos encontremos ante una página con certificados de seguridad, mayor transparencia que nos permitirá ver con toda la información que acredita al cifrado (si ya se que ahora también se puede pero así queda mucho más claro).
Además de cientos de novedades... mejora la gestión de memoria (lo he podido comprobar con las últimas versiones alpha´s) interfaz gráfica mucho más atractiva, el lanzamiento esta planeado para septiembre de este año según leí.
Un poco antes de lo esperado, esta última actualización de Firefox (2.0.0.5), finalmente incluye el soporte para cookies HttpOnly.
Ejemplos de uso en ASP.NET y PHP:
<script runat="server">
protected void Page_Load(object sender, EventArgs e)
{
Response.Cookies["Demo"].Value = "Prueba";
Response.Cookies["Demo"].Secure = true;
}
</script>
<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
<title>HttpOnly Firefox 2.0.0.5</title>
<script type="text/javascript">
alert(document.cookie);
</script>
</head>
<body>
</body>
</html>
// PHP 4
setcookie('foo', 'test', null, '/;HttpOnly');
/*
PHP 5
setcookie('foo', 'test', null, null, null, true);
// o
ini_set("session.cookie_httponly", 1);
// o
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
*/
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
<head>
<title>HttpOnly Firefox 2.0.0.5</title>
<script type="text/javascript">
//<![CDATA[
alert(document.cookie)
//]]>
</script>
</head>
</html>
Como mencioné anteriormente, esta característica no es la panacea para evitar el robo de cookies a través de XSS, pero por lo menos reducirá un poco los vectores de ataque.
Nació un nuevo Planeta Firefox, aunque no sé que tanto se pueda escribir sobre Firefox, este pequeño blog está en la lista de colaboradores.
Si desean formar parte de ese planeta, escriban a alex@planetafirefox.com.
Este es el resultado de tener abierto Firefox durante unos días:
Este consumo de memoria no sería problema siempre y cuando me deje trabajar bien, pero al llegar a este punto, el navegador se pone bastante lento al abrir/cerrar pestañas y entrar a cierto tipo de páginas (aquellas que contienen flash o hacen uso intensivo de javascript -- google reader, gmail).
Por el momento, no tengo intenciones de usar Internet Explorer u Opera (ninguno provee la misma funcionalidad que consigo con las extensiones de Firefox), así que tendré que seguir sufriendo hasta que los desarrolladores de este navegador provean mejoras en el consumo de memoria y rendimiento.