El peligro del Javascript externo en nuestras webs
Una cosa que hacemos casi todos en nuestros blogs y webs es añadir código Javascript que nos proporcionan desde otras webs. Lo hacemos cuando añadimos sistemas de estadísticas, cuando incluimos un objeto incrustado (vídeos, presentaciones, juegos, encuestas…), cuando ponemos publicidad, en los widgets externos del tipo mybloglog o muchos “banners” de vinculación con directorios y rankings…
En los últimos días me he encontrado tres sustos al respecto:
- Youtube ha añadido una barra de búsquedas en los vídeos que embebemos. Bastante fea por cierto por lo grande que es, y que en un momento dado puede despistar al lector y que interprete que es un buscador propio de la web. (explicación de cómo quitarla)
- Un script para incluir publicidad de adsense que tengo ahora mismo de repente me ha traído publicidad de doubleclick (de esto me he dado cuenta gracias al NoScript)
- Un troyano que intentó descargarse al jugar a un juego en Facebook y del que ya os he hablado.
Cuando incluimos estos códigos javascript estamos abriendo una puerta enorme a que la web de origen coloque en la nuestra lo que ella quiera, eso puede ser bueno, o no y puede ser malo, incluso sin que la web origen sea consciente, en el caso de que haya sufrido una intrusión de seguridad.
Como bloggers/webmasters debemos reducir al mínimo necesario este tipo de códigos javascript sobre los que no tenemos control y colocarlos sólo si tenemos confianza plena en la web que nos lo sirve.
Como navegantes os recomiendo una vez más utilizar Firefox + NoScript que os mantendrá a salvo de este tipo de cosas y ataques XSS.
¿Y tú, confías en las webs cuyo código has incluido o nunca te lo habías planteado? ¿tomas alguna medida de precación cuando navegas de web en web?
Foto original de ccarlstead
Entradas relacionadas
Si te ha gustado el post, tal vez quieras dejar un comentario o subscribirte al feed RSS y recibir futuras actualizaciones en tu lector de feeds.
La verdad es que nunca me había parado a pensarlo, y mirándolo así hasta asusta un poco, se intentará minimizar al máximo este tipo de código, aunque muchas veces es imprescindible.
dios, si antes me quejo de la barra de busqueda de youtube….ahi traes la solucion… voy a probarlo pero ya.
grax
Acaban de quitar la barra de busqueda… habran recibido muchas quejas, normal.
¿Y el código de la barra de youtube es seguro? Porque ciertamente es muy antiestético. Ah, acabo de comprobar efectivamente que ya la han retirado.
Son de esas cosas en las que no quieres pensar porque te limitarían demasiado.
Yo también utilizo Firefox con el add-on no script, pero por lo demás supongo que soy de las confiadas.
pues la verdad es que hasta ahora he sido demasiado “confiado”, muchas plataformas, servicios, etc..
esta es quizas una de las razones por las que hace un tiempo empece a limitar las plataformas y anunciantes que aparecen en mi pagina.. mucha “cosa” metida dentro de la que no tenia control
A mi los que más miedo me dan son los publicitarios, ya he tenido que limpiar varios Windows con malwares de todo tipo que te abrían navegadores con páginas de publicidad
muy interesante, lo de la barra de youtube no tenia ni idea que se pudiese hacer, a mi tambien me parece un coñazo que este ahi, ya ponen al final los videos relacionados, es demasiado insistir.
Me parece muy buena la aclaración. Resulta bastante sospechoso
que tantas paginas (y ultimamente youtube)incluyan como requisito indispensable aceptar este tipo de códigos, cuando antes no eran necesarios.Lamentablemente estos comerciantes lo que te dan… te quitan.