2009/6/20 Leandro Lucarella <[email protected]>: > A menos que tengas Firefox/Iceweasel (yo al menos tengo NoScript y no pasó > niente! =P).
Bueno, eso plantea el problema de siempre. Muchísimas de las supuestas vulnerabilidades que se descubren no son errores sino usos maliciosos de funciones que fueron puestas intencionalmente. Al final están mochando cada vez más funciones o restringiéndolas cada vez más para evitar este tipo de cosas. Por ejemplo noscript. Actualmente tal vez el 80% de las páginas web usan javascript. NoScript elimina esa funcionalidad pero no necesariamente evita problemas de ataques intencionados. Yo si voy a hacer una página maliciosa simplemente le pongo un chequeo al principio veriifcando que el usuario tenga javascript y si no tiene le doy un aviso de que necesita javascript para funcionar. Otro ejemplo de funciones medio mochadas es el asunto del cross-site scripting. Resulta que quise hacer una API para acceder a unas funciones mias desde javascripts puestos en otros sitios. Al final me volvió loco el problema de que el XML HTTP Request no puede enviar información a URLs diferentes de al de la página contenedora. Ja lo solucioné, simplemente utilizando un parche asqueroso que es el JSON, que al final termina haciendo lo mismo que el cross-site scripting, sólo que por algún extraño motivo nadie lo ha calificado de vulnerabilidad así que todavía se puede hacer. Y confío en que se seguirá pudiendo hacer porque de lo contrario serian imposibles cosas como google-maps.
