El funcionamiento es el siguiente, supongamos esta URL http://www.android.com/. En ella, se puede comprobar que Javascript está habilitado y funcionando. Basta con pedirla directamente en el navegador y hacer un clic en el botón para comprobar como Javascript funciona
Ahora bien, haciendo uso de la función de deshabilitar Javascript en este sitio procedemos a bloquearlo.
opciones avanzadas /configurar contenido/javascript
Una vez hecho esto, si se intenta acceder al sitio web bloqueado, se obtiene una página web en la que no se ha activado Javascript.
Ahora cerramos el navegador - esto es importante pues si en la misma sesión se ha bloqueado ya una vez el sitio, no lo habilita más - y abrimos el sitio web dentro de un iframe y lo que se obtiene, a pesar de que la URL está bloqueada, es que se carga la página con Javascript.
google aun no ha dado respuesta desde no se hace 5 años
Bueno, pues ahí es nada. Así funciona este filtrado. Al no hacer la comprobación en base a la URL del recurso, cualquier iframe puede saltarse el filtro. Así, una web permitida podrá ejecutar todo el código javascript/cargar plugins/abrir popups/abrir imágenes de cualquier lugar del mundo. Así, si abres el javascript a tu sistema de webmail y alguien te manda un mail en html o entras en una web en la que se ha metido un iframe, no importa si está bloqueado.
Año 2015 que no dice google Es un bug, que afecta a la seguridad, y lo arreglaremos
bug ha sido re-calificado para definirlo comobug, y ahora sí se define como un bug que afecta a la Seguridad, además de que la prioridad ha pasado de 3 a 2, por lo que parece que tiene más posibilidades de ser tratado. Estamos en la versión Google Chrome 43, en el año 2015
Bueno, pues ahí es nada. Así funciona este filtrado. Al no hacer la comprobación en base a la URL del recurso, cualquier iframe puede saltarse el filtro. Así, una web permitida podrá ejecutar todo el código javascript/cargar plugins/abrir popups/abrir imágenes de cualquier lugar del mundo. Así, si abres el javascript a tu sistema de webmail y alguien te manda un mail en html o entras en una web en la que se ha metido un iframe, no importa si está bloqueado.
Año 2015 que no dice google Es un bug, que afecta a la seguridad, y lo arreglaremos
bug ha sido re-calificado para definirlo comobug, y ahora sí se define como un bug que afecta a la Seguridad, además de que la prioridad ha pasado de 3 a 2, por lo que parece que tiene más posibilidades de ser tratado. Estamos en la versión Google Chrome 43, en el año 2015
en Conclusion el fallo sigue existiendo, y se puede saltar el filtrado de una ejecución de un dominio con meter la llamada en un iframe este bug fue reportado por primera vez por el doctor en informatica chema alonso y hasta la fecha se sigue en espera igual quizas chema hasta olvido esto.
No hay comentarios:
Publicar un comentario