Desde su lanzamiento, una de las metas de Firefox fue crear un navegador que sea seguro para sus usuarios. Esto fue muy sencillo al principio ya que la mayor parte del malware (troyanos, spyware, etc.) apuntaban a fallas de seguridad del Internet Explorer, algo muy lógico debido al gran porcentaje de uso que tenía el software de Microsoft en esa época.

Tambien la web era mucho más simple, la mayoria de los sitios permitian muy poca interaccion con los usuarios, limitandose en su mayoria a foros de discusion, encuestas o libros de visitas. Los blogs como los conocemos ahora recien comenzaban a hacerse masivos, y los sitios de interacción social como MySpace, YouTube o del.icio.us no existian.

Pero poco a poco navegadores como Firefox, Opera y Safari entre otros fueron ganando mercado y la tecnología de la web fue haciendose más compleja, lo que le permitió a los hackers a encontrar nuevas e ingeniosas formas de atacar a los usuarios.

Recientemente se encontraron dos nuevas vulnerabilidades en Firefox. Al instalarse, Firefox registra en el sistema operativo el protocolo ‘firefoxurl://’ esto permite a otros programas instalados usar el Firefox para ingresar a una página aunque no sea el navegador predeterminado. El problema se origina, debido a que el Internet Explorer no escapa las comillas, entonces un hacker puede crear un link con éste protocolo con parámetros (por ej: -chrome) logrando con esto ejecutar código Javascript arbitrario en la maquina del usuario.

Si bien esta vulnerabilidad no se limita al Firefox ya que puede afectar a todo programa que registre protocolos en Windows (Adobe Acrobat Reader, AOL Instant Messenger, Outlook Express, mIrc, etc). En menos de 10 dias, los desarrolladores de Firefox lanzaron la versión 2.0.0.5 que incluye una solución a esta vulnerabilidad, impidiendo que se acepte codigo malgino desde el Internet Explorer.

Aunque al principio el origen de la vulnerabilidad se focalizó en la falla del Internet Explorer para escapar las comillas, se encontraron casos en que Firefox comete el mismo error. Dicha falla ya fue reportada al equipo de seguridad de Firefox, por lo que pronto podemos esperar una nueva actualización.

La segunda vulnerabilidad encontrada afecta al administrador de contraseñas al navegar, con Javascript habilitado, por sitios que permitan a los usuarios personalizar su página insertando código HTML (por ej. MySpace).

Un hacker puede crear un formulario en su página personalizada que incluye un formulario con campos (que incluso pueden estar ocultos) con el mismo nombre que usa el formulario de ingreso. Cuando un usuario se ese sitio, que previamente guardo su contraseña en el navegador, ingresa en la página del hacker, el navegador completa automaticamente los campos con los datos guardados, y el hacker puede transmitirlos mediante JavaScript sin que el usuario lo sepa.

Si bien el hacker solamente va a obtener el usuario y la contraseña del sitio en cuestión, debido a que muchos usuarios usan los mismos datos para registrarse en varios sitios, el hacker puede potencialmente estar obteniendo acceso al mail, home banking y otras cuentas que el usuario tenga en internet.

Esta falla no es exclusiva de Firefox, ya que cualquier navegador que complete formularios con datos guardados previamente sin intervención del usuario son suceptibles a este ataque. Por el momento se encontro que Safari sufre la misma vulnerabilidad, mientras que Opera e Internet Explorer 7 son inmunes.

Por el momento la recomendación de los expertos de seguridad es no usar el administrador de contraseña del navegador para sitios que permitan contenido personalizado en HTML, o deshabilitar JavaScript cuando se visitan este tipo de sitios. Advocates of this vision for k-12 contend that such badges could help bridge educational experiences that happen in and out of school, as well as provide a way to recognize soft https://www.order-essay-online.net/ skills such as leadership and collaboration