Manual para configuración segura del navegador

 

 

Enviado por Fernando Acero el 11 Junio 2009 - 12:27pm

Por Fernando Acero

El INTECO-CERT ha publicado un interesante manual [PDF] para configurar de forma segura nuestro navegador Web.

Este documento de 31 páginas está dividido en dos partes; en la primera se habla de la seguridad en general, abordando temas tan interesantes como la protección ante ataques y la gestión de la información privada, y en la segunda se explica la configuración segura los navegadores Explorer, Firefox, Safari, Opera y Chrome...

Es una pena que este interesante documento hable solamente de pasada sobre una de las herramientas de seguridad más interesantes para Firefox, Noscript, con un párrafo que dice:

"Existe una amplia variedad de añadidos a los navegadores que permiten un mayor nivel de seguridad, como por ejemplo NoScript en Firefox o los complementos que instalan algunos antivirus en los navegadores, en su mayoría analizadores de URL."

Desde mi punto de vista, la existencia de esta extensión para Firefox mejora de forma sensible su seguridad frente a otros navegadores que no disponen de una herramienta similar. Yo la uso y es muy interesante su capacidad para bloquear cualquier tipo de código malicioso y cualquier intento de ataque XSS.

"Copyleft 2009 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved"

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
admin's picture

NoScript

Enviado por admin el 11 Junio 2009 - 5:52pm.

Fernando:

Lo primero que hago al (re)instalar un Windows es utilizar el Explorer para bajarme Firefox. Lo segundo, instalar NoScript.

No obstante en los últimos tiempos me he vuelto algo más escéptico respecto a NoScript, por un par de razones: 1) su generosa lista blanca (que recomiendo recortar a mano de inmediato) y 2) porque si quieres navegar con cierta soltura te ves obligado a autorizar muchos script de seguridad cuando menos dudosa. De hecho si no lo haces muchas veces ni siquiera se carga la página, algo que es susceptible de dos posibles respuestas, según el grado de seguridad y/o paranoia del usuario.

Por tanto coincido bastante con Inteco en NO considerar a NoScript como una panacea, porque una falsa sensación de seguridad puede resultar más dañina que saber de antemano que no existe seguridad y actuar en consecuencia.

Sin embargo, tener la seguridad de bloquear cosas como Google Analytics (sólo tras modificar -insisto- la lista blanca de NoScript) resulta muy tranquilizador.

Fernando Acero's picture

De acuerdo...

Enviado por Fernando Acero el 12 Junio 2009 - 8:59am.

Estoy de acuerdo con lo que dices pero también es cierto que NoScript es una herramienta y como tal, hay que saber utilizarla adecuadamente. No podemos pretender que NoScript sea un sistema transparente a la navegación del usuario ya que no está pensado para que funcione de ese modo.

Tampoco creo que el INTECO no lo haya considerado una panacea, simplemente lo ha nombrado de pasada sin entrar en detalles. Esta hubiera sido una buena ocasión para explicar algo sobre la forma de configurar y usar NoScript para evitar problemas. Respecto a la autorización de scripts "dudosos", es lo de siempre, la comodidad está reñida con la seguridad, eso no va a cambiar y dependerá del usuario lo que quiera hacer. De nuevo otra constante, la informática en general y la seguridad en particular, no es algo "apto para todos los públicos", es necesario algo de formación para no tener problemas.

No es la primera vez que navegando por páginas "legales" que me sale algún aviso de XSS y que después de comprobarlo he visto que estaba fundamentado. También es cierto que mi navegación es bastante "normalita", mi lista blanca es más corta de lo que puede parecer en un principio y puedo decir que mi NoScript no me incordia demasiado.

Otra cosa que me gusta de NoScript es la posibilidad de forzar la conexión HTTPS de algunas páginas, lo que se realiza mediante la configuración avanzada.

"Copyleft Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved. Quotation is allowed."

Andy's picture

Pues se dejan fuera uno muy popular

Enviado por Andy el 11 Junio 2009 - 9:35pm.

Se menciona a

Explorer, Firefox, Safari, Opera y Chrome.

Sin embargo se dejan fuera uno muy popular, práctico y seguro: Lynx.

Alenog's picture

Cookies si... hasta que cierre

Enviado por Alenog el 11 Junio 2009 - 10:52pm.

No entiendo por qué en la configuración de las cookies dicen "es recomendable guardarlas hasta que caduquen". A mi me parece que la capacidad de configurar el navegador para que borre automáticamente todas las cookies al salir es de las mejores características que ofrece para la privacidad.

bledEX's picture

Tal vez lo diga

Enviado por bledEX el 12 Junio 2009 - 3:25pm.

Tal vez lo diga desde el punto de vista del uso del teclado y posibles keyloggers o del uso de la memoria y... (ahora no caigo en el ataque a la memoria), si copias la contraseña y usuario a la memoria desde un contenedor de contraseñas seguro.

Sería más fácil proteger el lugar donde está el perfil (Gecko) y/o la caché (IE) mediante permisos de seguridad del propio sistema a las carpetas. Fácil, siempre que no haya un administrador que cambie permisos y tome posesión, claro.

O eso que digo, o se les ha ido la cabeza al explicarlo.

Alenog's picture

Debería estar protegido

Enviado por Alenog el 14 Junio 2009 - 3:00pm.

La carpeta donde se guardan los perfiles y cachés ya debería estar protegida por el Sistema Operativo.