Firefox bloqueará los URI
Desde entonces, el esquema URI se ha vuelto muy popular entre los desarrolladores de sitios web ya que les permite incrustar archivos de texto (CSS o JS) o archivos de imagen (PNG, JPEG) dentro de documentos HTML en lugar de cargar cada recurso mediante una solicitud HTTP separada.
Esta práctica se hizo muy popular porque los motores de búsqueda comenzaron a clasificar los sitios web en función de la velocidad de carga de sus páginas y mientras más solicitudes HTTP realiza un sitio web, más lento se carga y más afecta la posición de una página.
Muy populares para el phishing
Sin embargo en algún momento a finales de la década de 2000, los investigadores de seguridad se dieron cuenta de que los URI de datos también podían ser objeto de abuso para ataques de phishing y XSS (cross-site scripting). Una técnica que luego fue perfeccionada y mejor explicada en 2012 por un investigador de la Universidad de Oslo en Noruega.
Desde entonces, el phishing basado en URI de datos se ha convertido en algo común, con varias campañas de phishing que utilizan esta táctica casi todos los años y recientemente, incluso incorporadas en estafas de soporte técnico.
Los casos más usados son los URI “data: text / html; base64” y “data: application / x-javascript; base64”, que proporcionan una forma de insertar códigos HTML y JavaScript maliciosos dentro de sitios legítimos.
Los navegadores comienzan a bloquear los URI
Estos URI de datos también se pueden cargar dentro de la barra de navegación del navegador para procesar el archivo directamente y luego usar código malicioso adicional para ocultar la URL real.
Un esquema de URL que una vez se desarrolló para “incrustar archivos en otros” se convirtió en un “método de navegación” en los navegadores modernos.
Los navegadores como Google Chrome y Microsoft Edge vieron este problema y actuaron al bloquear la carga de URI de datos dentro de la barra de navegación URL. Ahora, Mozilla está haciendo lo mismo con Firefox.
Fuente: CERT-PY