En estos últimos tiempos se estan multiplicando las vulnerabilidades y
fallos críticos de seguridad en los navegadores basadas en XSS (Cross
Site Scripting), que según la wikipedia es:
XSS es un ataque basado en la explotación de vulnerabilidades del sistema de validación de HTML
incrustado. Su nombre, del inglés "Cross Site Scripting", y renombrado
XSS para que no sea confundido con las hojas de estilo en cascada (CSS), originalmente abarcaba cualquier ataque que permitiera ejecutar código de "scripting", como VBScript o javascript,
en el contexto de otro dominio. Recientemente se acostumbra a llamar a
los ataques de XSS "HTML Injection", sin embargo el término correcto es
XSS. Estos errores se pueden encontrar en cualquier aplicación HTML, no
se limita a sitios web, ya que puede haber aplicaciones locales
vulnerables a XSS, o incluso el navegador en sí. El problema está en
que normalmente no se validan correctamente los datos de entrada que
son usados en cierta aplicación
La gente de Kriptopolis nos ha alertado de como esta vulnerabilidad está presente en servicios usados bastante comúnmente como puede ser Picasa (gestor de fotos de Google) o, en algunas condiciones, hasta en Gmail. Este tipo de ataques suelen tener también como objetivo el hacerse con datos y contraseñas de servicios bancarios online e incluso de nuestra tarjeta a la hora de comprar por internet.
Si bien cierto que uno de los navegadores más expuestos a este tipo de ataque es el Internet Explorer de Microsoft, Firefox tampoco está totalmente exento de los riesgos de este tipo de ataques de código embebido.
Firefox, al ser un navegador Open Source, tiene a su disposición el buen hacer de una comunidad de desarrollo bastante preocupada por este tipo de vulnerabilidad y como resultado tenemos una extensión excepcional llamada Noscript, que va a añadir otra capa de seguridad a nuestro navegador. Esta extensión permite la ejecución de javascript o java solamente en los sitios que consideremos de confianza, alternando el modo confiado y seguro con un solo click.
Tenemos un buen video en Youtube que nos explica, en inglés, la instalación y funcionamiento de esta sensacional extensión para Firefox (las referencias cristianas del comienzo, añaden algo de humor a este video):
Puedes instalar Noscript para Firefox desde este enlace.