Enisa desvela fallos de seguridad en los estándares web

Enisa, la agencia de seguridad europea, ha advertido que la mayoría de los estándares web modernos necesitarían reescribirse después de realizar un estudio en el que se han encontrado 50 amenazas en estándares como HTML5.

El informe, titulado A Security Analysis of Next Generation Web Standards, se realizó cuando la mayoría de los estándares se estaban terminando.

Giles Hogben, uno de los responsables del informe, asegura que la mayoría de las especificaciones “están alcanzando un punto de no retorno” y dice que por una vez se tiene la oportunidad de pensar en profundidad en la seguridad antes de que el estándar esté hecho, en lugar de estar parcheándolo posteriormente. “Es una oportunidad única para crear un diseño seguro”, asegura.

El informe analiza trece estándares, incluido HTML5, aquellos que se utilizando en interfaces de comunicaciones CORS y XHR, APIs de dispositivos como los de localización e incluso widgets.

Uno de los aspectos más preocupantes es que el informe identifica varios problemas con HTML5, que compañías de gran peso están promocionando y que se convertirá en el estándar para la creación de páginas web en los próximos años.

Entre los fallos encontrados puede citarse la capacidad para desactivar la protección ‘click-jacking’ o accesos no protegidos a información sensible, además de otros que Enisa advierte que podrían generar errores de implementación.

Entre las recomendaciones de la agencia europea para mejorar la seguridad en los estándares se incluyen una mejora del acceso a políticas de control, un sistema de permisos más hermético y aplicar indicadores de advertencia para los usuarios.