Las cajas de arena o "sandbox" son entornos controlados donde se aíslan aplicaciones en las que no se confía.Hoy en día con la proliferación de la web 2.0 es habitual que una determinada página solicite información a otra y la incluya directamente mostrándosela al usuario final. Esta inclusión tiene implicaciones de seguridad, ya que nunca estaremos seguros que el código que se incrusta en nuestra propia página es seguro y no está modificando el contenido propio.
Podemos remontarnos a octubre del año pasado donde Bipin Gautam alertaba sobre la inclusión en un dominio militar (www.dia.mil) de un script alojado en Dublín y por lo tanto, no controlado por las autoridades competentes de ese dominio:
Pese a que en este caso en concreto se discutió el riesgo que esto implicaba, en otros muchos casos es fácil detectarlo. Un claro ejemplo lo expuso Yago utilizando como ejemplo una red social como Facebook.
Para minimizar los riesgos que implica el añadir este contenido "descontrolado" a nuestra página web, Microsoft ha lanzado bajo licencia Apache el producto Web Sandbox, un método con el que se aislará la información de terceros, evitando el acceso y modificación del resto de documento.
La página del proyecto es amplía, detallando documentación y modelo, además de explicar múltiples ejemplos. Se puede consultar el código fuente en la siguiente URL: http://websandbox-code.org/js/1.1168.01302009_debug/sandbox2.js
0 comments :
Publicar un comentario