Efectivamente, has leído bien, un nuevo estudio de GeoEdge, una empresa especializada en la seguridad de los anuncios online, ha llegado a la conclusión de que los anuncios en HTML5 podrían no ser mucho más seguros que los de Flash; y no solo eso, sino que la investigación apunta a que este último ha sido “vilupendiado” erróneamente.
Así, la entidad asegura que los anuncios HTML5 no protegen a los usuarios contra los ataques por una sencilla razón: que las vulnerabilidades no dependen de este o de Flash sino del código que estos sean capaces de ejecutar. Pero expliquémonos con más detalle.
El problema
De esta manera y según indica la citada compañía, los desarrolladores de malversiting emplean indistintamente ambos, pues no se basan en la tecnología utilizada sino en los estándares empleados para construir la infraestructura de la red de seguridad.
En concreto, nos estamos refiriendo a VAST y VPAID –empleados principalmente en los spots en vídeo y los responsables de determinar la ruta desde el creador hasta el navegador del usuario-; unos estándares que se erigen como los principales objetivos de los ciberdelincuentes, pues son los que les brindan la oportunidad de alterar el anuncio –no importa si es estático o en movimiento- a través de inyecciones de JavaScript.
En todo caso, GeoEdge también recalca que “si bien existen algunas ventajas en los anuncios basados en Flash” –como la mayor compatibilidad con navegadores antiguos y un mejor renderizado de los anuncios en movimiento, que también son más sencillos de optimizar-, “HTML5 es la opción más segura”. Además, consume menos recursos y son “más fáciles de crear y hacer funcionar en dispositivos móviles”.
Vía | Softpedia
En Genbeta | La muerte de Flash en Chrome ya tiene fecha: el último trimestre del año
Ver 2 comentarios
2 comentarios
Jónatan Núñez
Este artículo es una puta mierda. Es lo mismo decir que ninguna web es segura porque te puede llevar a cualquier otra insegura (con enlace o automáticamente, con JS o un refresh en el header). Flash es un millón de veces más inseguro que JS porque sencillamente no se ejecuta en un sandbox y porque se tiene acceso de bajo nivel. O has visto alguna vez en algún lugar que con JS se pueda conseguir permisos de root? O quizá acceder desde JS a posiciones de memoria concretas?
Se supone que cuando no exista flash no habrá flash en los navegadores y poner, desde un anuncio HTML5, un object flash no hará absolutamente nada. No habrá plugin, todo será un sandbox, no puedes acceder al ordenador que ejecuta esa web.
miguelabellan nosoye
El problema es que hay páginas de phishing que, al no ejecutar ningún malware directamente, a los ojos de Google Adsense o cualquier otra red publicitaria son totalmente legitimas. No es necesario usar ningún mecanismo de inyección, solo es necesario convencer al usuario para que se descargue y ejecute un programa. (Tarea más que sencilla en algunos casos)