Mayor seguridad para las redes sociales en Internet y otras aplicaciones web

(NC&T) Típicamente, los programadores web asocian las verificaciones de seguridad con funciones particulares de una aplicación. Si usted pertenece a una red social, puede ser capaz de enviar mensajes electrónicos a sus amigos, añadir comentarios en las páginas de ellos, etiquetar las imágenes que tienen expuestas, etc. Cada una de estas operaciones ejecuta su propia porción de código, y el desarrollador usualmente añade una verificación de seguridad a cada una de éstas, para asegurar que el usuario esté autorizado a activar dicha porción. Las verificaciones de seguridad de esta clase operan en segundo plano; por ejemplo, no solicitan que usted vuelva a escribir su nombre de usuario y contraseña. Muchas aplicaciones web también "desinfectan" los datos enviados por sus suscriptores: Si un amigo coloca algo en la página que usted tiene en una red social, probablemente la aplicación no le muestre la aportación sin antes revisarla en busca de código malicioso.
"Hemos revisado una gran cantidad de estas aplicaciones web, y hay literalmente cientos de ubicaciones sobre las que actúan estas verificaciones", explica Nickolai Zeldovich, profesor del Laboratorio de Ciencias de la Computación e Inteligencia Artificial del MIT. Zeldovich y sus colegas identificaron incluso una popular aplicación web que desinfecta los datos en más de 1.400 lugares (pero aún así tenía cerca de 60 agujeros de seguridad).Sin embargo, también identificaron una característica que las verificaciones de seguridad de las aplicaciones web usualmente tienen en común: los mismos datos están siendo manejados en todos estos cientos de emplazamientos.De ahí que, Zeldovich, Alexander Yip, Xi Wang y Frans Kaashoek hayan desarrollado un sistema que asocia verificaciones de seguridad con porciones específicas de datos en lugar de con segmentos de código. Cualquier intento de acceder a los datos, por cualquier ruta imaginable, pone en marcha la verificación.
Los investigadores modificaron 12 aplicaciones existentes escritas en los populares lenguajes de programación web Python y PHP de modo que usaran el sistema Resin. En los experimentos, las aplicaciones modificadas repelieron los ataques que explotaban agujeros de seguridad conocidos. Los investigadores desarrollaron además sus propios ataques, los cuales Resin hizo también fracasar.Para los programadores, el nuevo sistema debería ser fácil de adoptar, sobre todo teniendo en cuenta que hasta ahora debían colocar código para verificaciones de seguridad y desinfección en cada punto vulnerable. Ahora en cambio sólo tendrán que añadirlo una vez.