El peligro del Javascript externo en nuestras webs

Caballo de Troya

Una cosa que hacemos casi todos en nuestros blogs y webs es añadir código Javascript que nos proporcionan desde otras webs. Lo hacemos cuando añadimos sistemas de estadísticas, cuando incluimos un objeto incrustado (vídeos, presentaciones, juegos, encuestas…), cuando ponemos publicidad, en los widgets externos del tipo mybloglog o muchos “banners” de vinculación con directorios y rankings…

En los últimos días me he encontrado tres sustos al respecto:

  • Youtube ha añadido una barra de búsquedas en los vídeos que embebemos. Bastante fea por cierto por lo grande que es, y que en un momento dado puede despistar al lector y que interprete que es un buscador propio de la web. (explicación de cómo quitarla)
  • Un script para incluir publicidad de adsense que tengo ahora mismo de repente me ha traído publicidad de doubleclick (de esto me he dado cuenta gracias al NoScript)
  • Un troyano que intentó descargarse al jugar a un juego en Facebook y del que ya os he hablado.

Cuando incluimos estos códigos javascript estamos abriendo una puerta enorme a que la web de origen coloque en la nuestra lo que ella quiera, eso puede ser bueno, o no y puede ser malo, incluso sin que la web origen sea consciente, en el caso de que haya sufrido una intrusión de seguridad.

Como bloggers/webmasters debemos reducir al mínimo necesario este tipo de códigos javascript sobre los que no tenemos control y colocarlos sólo si tenemos confianza plena en la web que nos lo sirve.

Como navegantes os recomiendo una vez más utilizar Firefox + NoScript que os mantendrá a salvo de este tipo de cosas y ataques XSS.

¿Y tú, confías en las webs cuyo código has incluido o nunca te lo habías planteado? ¿tomas alguna medida de precación cuando navegas de web en web?

Foto original de ccarlstead
Anuncios

9 comentarios en “El peligro del Javascript externo en nuestras webs

  1. La verdad es que nunca me había parado a pensarlo, y mirándolo así hasta asusta un poco, se intentará minimizar al máximo este tipo de código, aunque muchas veces es imprescindible.

  2. Son de esas cosas en las que no quieres pensar porque te limitarían demasiado.

    Yo también utilizo Firefox con el add-on no script, pero por lo demás supongo que soy de las confiadas.

  3. pues la verdad es que hasta ahora he sido demasiado “confiado”, muchas plataformas, servicios, etc..

    esta es quizas una de las razones por las que hace un tiempo empece a limitar las plataformas y anunciantes que aparecen en mi pagina.. mucha “cosa” metida dentro de la que no tenia control

  4. muy interesante, lo de la barra de youtube no tenia ni idea que se pudiese hacer, a mi tambien me parece un coñazo que este ahi, ya ponen al final los videos relacionados, es demasiado insistir.

  5. Me parece muy buena la aclaración. Resulta bastante sospechoso
    que tantas paginas (y ultimamente youtube)incluyan como requisito indispensable aceptar este tipo de códigos, cuando antes no eran necesarios.Lamentablemente estos comerciantes lo que te dan… te quitan.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s