viernes, agosto 08, 2014

El "issue" de Google Chrome 4 sigue activo en la versión 36

Fue en el año 2010 cuando, desde Informática 64, reportamos a Google que la función de bloqueo de contenido JavasScript en Google Chrome 4 no funcionaba demasiado bien, pero por decisión suya, a día de hoy sigue funcionando tal y como funcionaba en aquel entonces. Con la notificación se abrió un expediente de seguimiento en Chromium, en concreto con el ID 44985.

Esta semana, ha habido un cambio de categoría del mismo y me ha llegado una notificación por correo electrónico. En el expediente se puede ver que el "issue" se considera una característica que afecta a la Privacidad, la Seguridad y la Experiencia de Usuario en Seguridad, tal y como puedes ver aquí.

Figura 1: Expediente del "issue" 4495 en el proyecto Chromium

Por supuesto, después de este mensaje he decidido que había que comprobar que seguía activo, y sí. Sigue estando de la misma forma en la que se dejó en el año 2010, allá por la versión de Google Chrome 4, pero en la versión Google Chrome 36. Si tienes otra versión, puedes probar también.

Figura 2: Versión de Google Chrome probada

Para los que no estén al día, el "fallo en la experiencia de usuario de seguridad" que catalogaron como "issue" se produce con el bloqueo de contenido JavaScript. Supongamos que alguien quiere bloquear el contenido JavaScript de un dominio. Para ello se va a las opciones de configuración, y en la parte de contenido deja JavaScript habilitado para todas las páginas, excepto para la del dominio concreto que quiere bloquear. En mi caso he elegido un web con un emulador JavaScript de NES.

Figura 3: Se permite JavaScript para todos los dominios excepto para jsmess.textfiles.com

Una vez que se ha hecho esto, si alguien accede a cualquier página de ese dominio, lo que se obtiene es que el contenido JavaScript no se ejecuta, por lo que no se puede cargar el emulador, tal y como puedes ver en la imagen siguiente.

Figura 4: Si se accede a la URL ahora está bloqueado JavaScript

Pero basta con invocar el contenido de la URL con un iframe src que cargue el contenido, y listo. Así que cierra el navegador, abre una nueva pestaña con el archivo que carga en el iframe el emulador JavaScript y podrás verlo funcionando. Es decir, la opción de bloquear el contenido JavaScript solo afecta si la web se carga en la barra de direcciones, pero nada más.

Figura 5: Contenido JavaScript ejecutado en el iframe, pese a estar bloqueado el dominio

Al final, el problema es que si alguien piensa que esta opción le puede servir para protegerse, por ejemplo, de sitios que hagan tracking de hábitos - por ejemplo empresas de publicidad agresiva - bloqueando los dominios desde donde las webs afiliadas cargan los ficheros JavaScript, se estará equivocando. Esto solo funciona si la web se carga en el dominio principal, pero nada más.

Figura 6: La respuesta -> "Es un issue"

Aún sigue abierto el "issue", así que tal vez en un futuro, cercano o no, acabarán cambiándolo para que esto tenga realmente una utilidad, o al menos informando de cómo funciona realmente esa característica, que parece que sirve para bloquear el JavaScript de un dominio, ¿verdad?.

Saludos Malignos!

2 comentarios:

Jonathan Novel dijo...

Muchisisimas gracias por la Info Dr.Maligno!
Saludos, lo tendre en Cuenca... ;-)

Anónimo dijo...

Lo primero agradecerte por tu trabajo. Te sigo a diario!
Me gustaria saber como haces para invocar la url en un iframe en el navegador.

Saludos

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares