\n<\/aside>\n<\/p>\n
El navegador Brave tomar\u00e1 medidas contra los sitios web que esp\u00edan a los visitantes escaneando sus puertos de Internet abiertos o accediendo a otros recursos de la red que pueden exponer informaci\u00f3n personal.<\/p>\n
A partir de la versi\u00f3n 1.54, Brave bloquear\u00e1 autom\u00e1ticamente el escaneo de puertos de sitios web, una pr\u00e1ctica en la que se encontr\u00f3 una cantidad sorprendentemente grande de sitios hace unos a\u00f1os. Seg\u00fan esta lista compilada en 2021 por un investigador que se hace llamar G666g1e, 744 sitios web escanearon los puertos de los visitantes, la mayor\u00eda o todos sin avisar o pedir permiso por adelantado. eBay, Chick-fil-A, Best Buy, Kroger y Macy’s se encontraban entre los sitios web infractores.<\/p>\n<\/figure>\nAlgunos sitios usan t\u00e1cticas similares en un intento de tomar las huellas dactilares de los visitantes para que puedan volver a identificarse cada vez que regresan, incluso si eliminan las cookies del navegador. Al ejecutar scripts que acceden a los recursos locales en los dispositivos visitantes, los sitios pueden detectar patrones \u00fanicos en un navegador visitante. A veces, hay razones benignas por las que un sitio acceder\u00e1 a los recursos locales, como detectar inseguridades o permitir que los desarrolladores prueben sus sitios web. A menudo, sin embargo, hay motivos m\u00e1s abusivos o maliciosos involucrados.<\/p>\n
La nueva versi\u00f3n de Brave frenar\u00e1 la pr\u00e1ctica. De forma predeterminada, ning\u00fan sitio web podr\u00e1 acceder a los recursos locales. Los usuarios m\u00e1s avanzados que deseen que un sitio en particular tenga dicho acceso pueden agregarlo a una lista de permitidos. La interfaz se parecer\u00e1 a la captura de pantalla que se muestra a continuaci\u00f3n.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\n\nCaptura de pantalla del cuadro de di\u00e1logo de permiso proporcionado por Brave.<\/p>\n
Corajudo<\/p>\n<\/figcaption><\/figure>\n
Brave continuar\u00e1 usando las reglas de la lista de filtros para bloquear scripts y sitios que se sabe que abusan de los recursos del host local. Adem\u00e1s, el navegador incluir\u00e1 una lista de permitidos que da luz verde a los sitios que se sabe que acceden a los recursos de host local por razones de beneficio para el usuario.<\/p>\n
\u201cBrave ha optado por implementar el permiso localhost en esta forma de varios pasos por varias razones\u201d, escribieron los desarrolladores del navegador. \u201cLo que es m\u00e1s importante, esperamos que el abuso de los recursos del host local sea mucho m\u00e1s com\u00fan que los casos que benefician al usuario, y queremos evitar presentarles a los usuarios di\u00e1logos de permiso para solicitudes que esperamos que solo causen da\u00f1o\u201d.<\/p>\n
El escaneo de puertos y otras actividades que acceden a los recursos locales generalmente se realiza mediante JavaScript que est\u00e1 alojado en el sitio web y se ejecuta dentro del navegador del visitante. Un principio b\u00e1sico de seguridad web conocido como pol\u00edtica del mismo origen impide que JavaScript alojado en un dominio de Internet acceda a los datos o recursos de un dominio diferente. Esto evita que el Sitio A malicioso pueda obtener credenciales u otros datos personales asociados con el Sitio B.<\/p>\n
Sin embargo, la misma pol\u00edtica de origen no impide que los sitios web interact\u00faen de alguna manera con la direcci\u00f3n IP del host local de un visitante de 127.0.0.1. Resumiendo este art\u00edculo de la firma de seguridad Forcepoint, los escritores de Wikipedia explican por qu\u00e9:<\/p>\n
\nIncluso cuando la pol\u00edtica del mismo origen est\u00e1 en vigor (sin que est\u00e9 relajada por el uso compartido de recursos de origen cruzado), se pueden realizar ciertos ataques inform\u00e1ticos de origen cruzado. WebRTC se puede utilizar para averiguar la direcci\u00f3n IP interna de una v\u00edctima. Si intenta conectarse a un puerto de origen cruzado, las respuestas no se pueden leer frente a la pol\u00edtica del mismo origen, pero un JavaScript a\u00fan puede hacer inferencias sobre si el puerto est\u00e1 abierto o cerrado al verificar si se activa el evento onload\/onerror, o si obtenemos un tiempo de espera. Esto brinda oportunidades para el escaneo de puertos de origen cruzado. Adem\u00e1s, un JavaScript puede incluso cruzar los servicios de huellas dactilares aprovechando los archivos predeterminados. Por ejemplo, si un JavaScript cargado desde el sitio evil.com intenta abrir el archivo http:\/\/127.0.0.1\/images\/jenkins.png, y se dispara el evento onload, entonces se puede inferir que la v\u00edctima ejecuta Jenkins en su propia computadora De esta manera, el atacante puede encontrar servicios potencialmente vulnerables, por ejemplo, en la red interna, incluso frente a la pol\u00edtica del mismo origen. Si alg\u00fan servicio es vulnerable a la falsificaci\u00f3n de solicitudes entre sitios, incluso puede verse comprometido.<\/p>\n<\/blockquote>\n
Esta forma de acceso de origen cruzado existe desde que existe la web. Si bien Brave dijo que el navegador Safari de Apple ha bloqueado algunas formas de acceso localhost, no las bloquea todas. Varias extensiones del navegador tambi\u00e9n bloquean dicho acceso.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\n\u201cHasta donde podemos decir, Brave es el \u00fanico navegador que bloquear\u00e1 las solicitudes a los recursos de localhost desde sitios p\u00fablicos seguros e inseguros, al tiempo que mantiene una ruta de compatibilidad para los sitios en los que los usuarios conf\u00edan (en la forma del permiso de localhost discutido)\u201d dijo la publicaci\u00f3n de Brave.<\/p>\n
El desarrollador del navegador agreg\u00f3:<\/p>\n
\nGracias a este \u201caccidente\u201d hist\u00f3rico, se ha creado una peque\u00f1a pero importante cantidad de software esperando que los sitios web puedan acceder libremente a \u00e9l, a menudo de forma invisible para los usuarios. Y muchos de estos usos son benignos. Los ejemplos incluyen algunas billeteras para criptomonedas, software de seguridad proporcionado por bancos o compa\u00f1\u00edas de seguridad y dispositivos de hardware que usan ciertas interfaces web para la configuraci\u00f3n.<\/p>\n
En algunas situaciones, los navegadores tambi\u00e9n permiten que los sitios web p\u00fablicos accedan a los recursos del host local para ayudar a los desarrolladores a probar su software.<\/p>\n
Desafortunadamente, una amplia gama de software malicioso que da\u00f1a al usuario en la Web utiliza el acceso a los recursos del host local por motivos maliciosos. Por ejemplo, los scripts de toma de huellas digitales intentan detectar patrones \u00fanicos en el otro software que est\u00e1 ejecutando en su dispositivo para volver a identificarlo, y otros scripts intentan identificar software inseguro y vulnerable en la m\u00e1quina y tratar de explotarlo.<\/p>\n<\/blockquote>\n
Publicaci\u00f3n actualizada para corregir detalles sobre las limitaciones de la pol\u00edtica del mismo origen.<\/em><\/p>\n<\/p><\/div>\n \nSource link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"El navegador Brave tomar\u00e1 medidas contra los sitios web que esp\u00edan a los visitantes escaneando sus puertos de Internet abiertos o accediendo a otros recursos de la red que pueden…<\/p>\n","protected":false},"author":1,"featured_media":708103,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[50651,216,57709,5864,8,236,11232,11174,1228,227,4225,1823],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/708102"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=708102"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/708102\/revisions"}],"predecessor-version":[{"id":708104,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/708102\/revisions\/708104"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/708103"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=708102"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=708102"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=708102"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}