EsLoMas.com

Vulnerabilidades CSRF en aplicaciones web

Patxi — Mon, 12 Mar 2007 14:45:15 +0000

Hoy voy a hablar sobre un tipo de vulnerabilidades de aplicaciones web llamado Cross Site Request Forgery (CSRF). Aunque su nombre guarde cierta similitud con otro tipo de vulnerabilidades como Cross Site Scripting (XSS), hay importantes diferencias entre ellas. A diferencia de los ataques XSS, que se basan en explotar la confianza que tiene un usuario en un determinado sitio web o aplicaci�n, los ataques CSRF, tambi�n denominados como Cross Site Reference Forgery o XSRF, se basan en explotar la confianza que los sitios web tienen con sus usuarios.

Men� de ubicaci�n hecho con una lista y CSS

Patxi — Wed, 23 Aug 2006 03:00:15 +0000

Los men�s de ubicaci�n podemos verlos en muchas webs indic�ndonos en qu� secci�n estamos y cu�les son las secciones superiores, permiti�ndonos acceder mediante un clic a cualquiera de ellas, por lo que muchas veces se denominan men�s de migas de pan o bread crumbs, en clara analog�a al cuento infantil de Hansel y Gretel. Son una de esas cosas que aun pese a su sencillez, marcan la diferencia muchas veces entre webs bien dise�ados y estructurados, de los que no lo son, puesto que proporcionan al usuario en todo momento una representaci�n visible de cu�l es su ubicaci�n en el web, permiti�ndole moverse por �l.

Portada del web --> p�gina de secci�n --> p�gina de subsecci�n

En las siguientes l�neas voy a explicar c�mo realizar estos men�s mediante elementos

y CSS.

Google publica la herramienta que utiliza para sus aplicaciones Ajax

Patxi — Wed, 17 May 2006 07:06:36 +0000

Google acaba de publicar el Google Web Toolkit, un framework orientado a la creaci�n de aplicaciones Ajax. Lo que puede resultar m�s novedoso de este framework es su forma de trabajo. En vez de escribir directamente c�digo JavaScript y hacer las llamadas Ajax, con este toolkit programamos directamente en Java y posteriormente compilamos el c�digo a Javascript.

El toolkit se puede utilizar sobre cualquiera de los entornos habituales de desarrollo Java, como Eclipse o Netbeans, aparte de poder utilizar las herramientas habituales como JUnit o JProfiler. Todo esto permite crear aplicaciones basadas en Ajax de una forma m�s eficiente y menos propensa a errores, pudi�ndose incluso depurar la aplicaci�n en el entorno Java.

El toolkit dispone de un conjunto de widgets que podemos utilizar en nuestras aplicaciones, como paneles, pesta�as, �rboles, men�s… Merece la pena tambi�n destacar algunas caracter�sticas interesantes que ofrece, como la comentada capacidad de depuraci�n, gesti�n de la historia del navegador para que se puedan usar los botones de adelante y atr�s en nuestra aplicaci�n ajax, compatibilidad con los navegadores actuales y por supuesto, la posibilidad de incluir c�digo Javascript propio.

Y ahora pensando un poco m�s, �qu� nos ofrece este toolkit realmente? Pues de primeras lo que se me ocurre es que pese a que los widgets ofrecidos sean pocos y no muy vistosos, aporta una nueva visi�n de c�mo realizar aplicaciones Ajax, que puede ser muy ventajosa. Actualmente desarrollar una aplicaci�n Ajax implica programar el lado del servidor, dise�ar el html, y escribir todo el Javascript que controla el Html poni�ndose en contacto con el servidor, todo ello muy entrelazado y relativamente complejo de independizar y controlar. Con este toolkit podr�amos dise�ar la aplicaci�n teniendo en cuenta que vamos a hacer el lado servidor por ejemplo en PHP, definiendo un conjunto de servicios que se utilizar�n posteriormente desde el navegador de los usuarios. De forma independiente podr�amos dise�ar el interfaz de usuario en Html y la l�gica que lo controla mediante Java (o cualquier otro lenguaje llegado el caso), depurarlo, y una vez testeado compilarlo a Javascript. Habr�amos conseguido principalmente simplificar el desarrollo del interfaz reutilizando componentes existentes, habr�amos simplificado las comunicaciones con el servidor usando las capacidades RPC del toolkit, y tendr�amos una aplicaci�n mucho m�s estructurada y mantenible, a la vez que menos propensa a errores.

Haga click para activar y usar este control

Patxi — Thu, 04 May 2006 07:18:24 +0000

Si utilizas el Internet Explorer para navegar puede que desde hace cosa de un mes veas el mensaje “Haga click para activar y usar este control”, o su versi�n en ingl�s, “Click to activate and use this control”, al pasar el rat�n sobre controles ActiveX o Flash embebidos en las p�ginas web. En mi caso no me hab�a percatado hasta hace unos d�as, ya que navego usualmente con Firefox, y utilizo el Explorer �nicamente para comprobar que lo que desarrollo se ve correctamente.

En realidad este mensaje es una muestra m�s de hasta donde puede llegar a ser pernicioso el tema de las patentes de software. Resulta que Microsoft llevaba bastante tiempo en juicios con una empresa llamada Eolas, que tiene la �nica licencia de utilizaci�n de una patente registrada por la Universidad de California, referente a la inclusi�n de plugins dentro de p�ginas web. Finalmente Microsoft ha sido condenada a pagar la friolera de 560 millones de dolares y se ha visto obligada a crear un parche para el explorer que modifica la carga de los plugin, entre ellos flash, de forma que el usuario no pueda interactuar con ellos hasta hacer click voluntariamente.

El W3C est� trabajando en la estandarizaci�n del objeto XMLHttpRequest

Patxi — Fri, 28 Apr 2006 07:43:26 +0000

Leo en SitePoint que el W3C est� trabajando en la estandarizaci�n del objeto XMLHttpRequest, pieza fundamental de la llamada tecnolog�a Ajax que est� en el coraz�n de las aplicaciones web de �ltima hornada.

La estandarizaci�n la est� llevando a cabo el Web APIs Working Group con el nombre The XMLHttpRequest Object.

Proyecto Open-Source impulsado por IBM para crear un framework AJAX

Patxi — Thu, 02 Feb 2006 15:18:43 +0000

IBM conjuntamente con un grupo de empresas entre las que figuran Google, Oracle, Yahoo, Red Hat y Novell, han lanzado un proyecto open source con el nombre de Open Ajax y el objetivo de crear un framework que permita estandarizar el desarrollo de aplicaciones basadas en esta tecnolog�a, y que funcione sobre diferentes entornos de ejecuci�n (runtimes).

�ltimamente han aparecido multitud de proyectos independientes orientados al desarrollo de aplicaciones Ajax, desde proyectos comerciales a open-source, y cubriendo no siempre las mismas posibilidades. A mi entender es precisamente este gran abanico de opciones lo que en muchos casos est� frenando actualmente la adopci�n de esta tecnolog�a y que adem�s est� provocando que no se usen todas sus funcionalidades.

A�adir f�cilmente funciones al evento onload

Patxi — Fri, 07 Oct 2005 08:25:56 +0000

Es frecuente que al juntar varios JavaScript obtenidos de diversas fuentes, cada uno haga su propia asignaci�n al m�todo window.onload, por lo que normalmente funcionar� �nicamente uno de los JavaScript.

El siguiente framento de c�digo JavaScript permite a�adir funciones al evento onload sin problemas de este tipo, lo �nico que debemos tener en cuenta es que las asignaciones deben hacerse utilizando esta funci�n.

function addLoadEvent(func) {
   var oldonload = window.onload;
   if (typeof window.onload != 'function') {
      window.onload = func;
   }
   else {
      window.onload = function() {
      oldonload();
      func();
    }
}

Si quisi�ramos a�adir la funci�n “funcion1″ al evento, har�amos �nicamente addLoadEvent('funcion1').

Para todo esto relacionado con los eventos, el W3C ha creado la especificaci�n
DOM Level 2 Event, aunque dicha especificaci�n no est� implementanda en todos los navegadores, por lo que aunque desde luego esta no es la forma �ptima ni ideal de hacer las cosas, el m�todo descrito nos permite resolver el problema.

Si tienes inter�s en obtener m�s informaci�n sobre qu� navegadores soportan la especificaci�n del W3C, puedes hacerlo en el �rticulo Advances event registration de Quirksmode.

Evitar que una p�gina salga dentro de un frame

Patxi — Fri, 16 Sep 2005 16:30:00 +0000

Hoy toca un truco sencillo de JavaScript pero �til a la vez. Quiz�s te haya ocurrido alguna vez ver una p�gina tuya dentro de otra p�gina, ya sea dentro de un frame o iframe. No s� a ti, pero a mi esto me parece bastante molesto, ya que despu�s de todo el esfuerzo que se toma uno en hacer que la p�gina quede cuadrada y se vea bien en todos los navegadores posibles, resulta que alguien la mete en un frame de estos y ya nada funciona como deber�a.

Evitarlo es realmente sencillo, basta con incorporar el siguiente c�digo JavaScript en tu p�gina.

Si nuestra p�gina est� dentro de un frame, top ser� distinto de self, en cuyo caso se cambia la url de la p�gina que nos contiene por la nuestra, de forma que el frame desaparece y nuestra p�gina pasa a tomar el control de la ventana. R�pido, sencillo y eficaz.

P�gina HMTL centrada horizontal y verticalmente

Patxi — Tue, 13 Sep 2005 16:21:36 +0000

Es habitual en algunos dise�os web que la pantalla se mantenga a un ancho y alto fijo centrada en el navegador del usuario. Esto es relativamente sencillo hacerlo con HTML, pero la cosa cambia si queremos hacerlo con CSS. Con el centrado horizontal no hay problema, ya que es suficiente con dar una anchura a la capa que representa el contenido de la p�gina y poner en su margin 0 auto, sin embargo con el centrado vertical la cosa cambia. Si lo has intentado alguna vez lo primero que habr�s hecho seguramente ser� sustituir el 0 auto anterior por un auto y habr�s comprobado que no funciona. De hecho hay multitud de trucos que intentan resolver este problema, pero ninguno lo consigue del todo.

Una posible soluci�n, que a mi entender es bastante buena, se basa en la utilizaci�n de una capa con posicionamiento absoluto que se ubica en la pantalla mediante JavaScript. Al lanzarse los eventos onload y onresize se llama a una funci�n (positionIt) que se encarga de obtener las dimensiones de la capa que hay que centrar (divCentrado) y configurar sus valores left y top, para lo cual a su vez necesita obtener el tama�o disponible en el navegador del usuario, lo cual lo hace mediante las funciones getViewportWidth y getViewportHeight.

Ver ejemplo

Obtener el valor de un RadioButton seleccionado con JavaScript

Patxi — Mon, 05 Sep 2005 16:02:19 +0000

Esta es una de esas cosas que las haces de ciento a viento y que cada vez que toca hacerla de nuevo, o no hay forma de acordarse c�mo hacerlo o de d�nde lo hab�amos utilizado, para hacer un “copypaste”.

El siguiente HTML monta un formulario de ejemplo con el cual se solicita al usuario que elija su sistema operativo favorito.


Windows
Linux
OSX
Other

No hay una forma directa de obtener qu� radio button est� seleccionado y saber as� su valor. Si es la primera vez que lo intentas seguramente habr�s intentado hacer algo como document.form.so.value y te habr�s dado cuenta que eso no funciona, y es normal ya que si te fijas en el html, tenemos 4 controles con el mismo nombre. Para poder obtener el valor seleccionado, cada “conjunto” de controles radio est� representado en JavaScript mediante un array, de forma que debemos recorrer ese array para obtener la opci�n seleccionada. El siguiente c�digo nos facilita el trabajo:

function getRadioButtonSelectedValue(ctrl)
{
    for(i=0;i
   Ahora ya podr�amos utilizar esta funci�n para obtener el valor seleccionado, pas�ndole como par�metro el control radiobutton del que queremos obtener el valor, en nuestro caso: getRadioButtonSelectedValue(document.frmSO.so);.