Desarrolladores no entienden CORS

El desarrollador Chris Foster ha advertido que muchos programadores web no comprenden cómo funciona CORS (Cross-Origin Resource Sharing), una tecnología clave para la seguridad en navegación.

Foster señala que recientemente se descubrió una vulnerabilidad en Zoom, donde el software de videollamadas ejecuta comandos desde un servidor local. Esto permitió a sitios externos acceder a funciones del cliente nativo sin restricciones.

“En lugar de utilizar solicitudes AJAX regulares, Zoom cargó imágenes desde su servidor web para enviar comandos al software local, evitando así las políticas CORS”

Según Foster, la razón detrás de esta implementación podría ser desconocimiento sobre CORS. En lugar de utilizar solicitudes AJAX regulares, Zoom cargó imágenes desde su servidor web para enviar comandos al software local, evitando así las políticas CORS.

Para mejorar la seguridad, el experto recomienda que Zoom implemente un REST API en localhost y establezca un encabezado Access-Control-Allow-Origin con el valor https://zoom.us. Esto limitaría los accesos solo a scripts del dominio zoom.us.

Además, sugiere añadir una política de seguridad que impida la apertura automática de llamadas en iframes. Sin embargo, reconoce que esto afecta la experiencia del usuario al requerir más interacción manual para iniciar reuniones.

Foster concluye advirtiendo sobre los riesgos de ejecutar servidores web locales y subraya la importancia de no vulnerar las políticas CORS para prevenir amenazas.