Mozilla pronto bloqueará la carga de URI de datos en la barra de navegación de Firefox como parte de una campaña contra los sitios de phishing que abusan de este protocolo. El esquema de datos URI (RFC 2397) se implementó en 1998 cuando los desarrolladores buscaban formas de insertar archivos en otros. Lo que se les ocurrió fue el esquema de datos URI que permite a un desarrollador cargar un archivo representado como una secuencia de octetos codificada en ASCII dentro de otro documento.

Firefox bloqueará los URI

Desde entonces, el esquema URI se ha vuelto muy popular entre los desarrolladores de sitios web ya que les permite incrustar archivos de texto (CSS o JS) o archivos de imagen (PNG, JPEG) dentro de documentos HTML en lugar de cargar cada recurso mediante una solicitud HTTP separada.

Esta práctica se hizo muy popular porque los motores de búsqueda comenzaron a clasificar los sitios web en función de la velocidad de carga de sus páginas y mientras más solicitudes HTTP realiza un sitio web, más lento se carga y más afecta la posición de una página.

Muy populares para el phishing

Sin embargo en algún momento a finales de la década de 2000, los investigadores de seguridad se dieron cuenta de que los URI de datos también podían ser objeto de abuso para ataques de phishing y XSS (cross-site scripting). Una técnica que luego fue perfeccionada y mejor explicada en 2012 por un investigador de la Universidad de Oslo en Noruega.

Desde entonces, el phishing basado en URI de datos se ha convertido en algo común, con varias campañas de phishing que utilizan esta táctica casi todos los años y recientemente, incluso incorporadas en estafas de soporte técnico.

Los casos más usados son los URI “data: text / html; base64” y “data: application / x-javascript; base64”, que proporcionan una forma de insertar códigos HTML y JavaScript maliciosos dentro de sitios legítimos.

Los navegadores comienzan a bloquear los URI

Estos URI de datos también se pueden cargar dentro de la barra de navegación del navegador para procesar el archivo directamente y luego usar código malicioso adicional para ocultar la URL real.

Un esquema de URL que una vez se desarrolló para “incrustar archivos en otros” se convirtió en un “método de navegación” en los navegadores modernos.

Los navegadores como Google Chrome y Microsoft Edge vieron este problema y actuaron al bloquear la carga de URI de datos dentro de la barra de navegación URL. Ahora, Mozilla está haciendo lo mismo con Firefox.

“Solo queremos bloquear las navegaciones URI de datos de alto nivel que se utilizan principalmente para el phishing”, dijo Christoph Kerschbaumer, uno de los ingenieros de Mozilla que han trabajado en esta nueva característica de seguridad.

Así pues, Mozilla sigue mejorando en temas de seguridad. Este es uno más de los añadidos que está teniendo Firefox. Ya hemos visto que con la versión de Firefox 57, que acaba de ser lanzada, se ha mejorado notablemente en la privacidad y seguridad.