Webtagr - Resumen de noticias de tecnología

cURL se ahoga en informes de vulnerabilidades generados por IA

2025-07-14

El equipo de seguridad del proyecto cURL está abrumado por una avalancha de informes de vulnerabilidades de baja calidad, muchos de ellos generados por IA. Estos informes desperdician tiempo y recursos significativos (3-4 personas, 30 minutos a 3 horas por informe), reduciendo drásticamente la eficiencia en la detección de vulnerabilidades genuinas. En 2025, aproximadamente el 20% de las presentaciones son basura generada por IA, lo que lleva a una fuerte disminución en la tasa de informes válidos. El equipo está considerando eliminar las recompensas monetarias o implementar otras medidas para frenar las presentaciones de baja calidad, con el fin de mantener la cordura del equipo y la seguridad del proyecto.

(daniel.haxx.se)

Desarrollo informes de vulnerabilidades

Vulnerabilidad en GitHub Diff: Sustitución de caracteres Unicode

2025-05-17

Un colaborador del proyecto curl, James Fuller, descubrió una vulnerabilidad en el visor de diferencias de GitHub. Actores maliciosos podrían sustituir caracteres ASCII por caracteres Unicode visualmente idénticos, alterando el código sin cambios aparentes. Esto podría llevar a la manipulación de URLs y otras consecuencias graves. Si bien el visor de diferencias de GitHub carecía de una advertencia, otras plataformas como Gitea señalaron dichos cambios. El proyecto curl respondió implementando comprobaciones de CI para detectar Unicode malicioso y limpió las secuencias UTF-8. Esto destaca la necesidad de medidas proactivas de seguridad de código para prevenir posibles ataques.

(daniel.haxx.se)

Desarrollo seguridad de código vulnerabilidad de GitHub

Bloqueo .onion de Curl: Una lucha entre seguridad y usabilidad

2025-05-16

Para evitar fugas de DNS de dominios .onion por parte de usuarios de Tor, curl implementó el RFC 7686 hace dos años, bloqueando la resolución de dominios .onion. Sin embargo, esto rompe la nueva herramienta oniux de Tor, impidiéndole usar curl para acceder a sitios .onion. Esto destaca un conflicto entre seguridad y usabilidad: el cumplimiento estricto del RFC afecta la experiencia del usuario, mientras que la flexibilización de las restricciones aumenta los riesgos de seguridad. El equipo de curl está trabajando ahora para encontrar una solución que equilibre la seguridad y las necesidades del usuario.

(daniel.haxx.se)

Tecnología fuga de DNS

El Desastre de los Puntos de Curl: Dos CVE y una Persecución Sin Fin

2025-05-15

El equipo de curl ha tenido una lucha persistente con los puntos finales en los nombres de host dentro de las URL. Inicialmente los ignoraban, pero luego restablecieron el soporte para sitios web que requieren puntos finales. Sin embargo, este cambio introdujo inadvertidamente dos vulnerabilidades de seguridad (CVE-2022-27779 y CVE-2022-30115) que afectan al manejo de cookies y al mecanismo HSTS, respectivamente. Estas vulnerabilidades se debieron a un manejo inadecuado de los puntos finales, lo que provocó coincidencias de dominio incorrectas. Curl 7.83.1 soluciona estos problemas, pero el autor sospecha que esto puede ser solo el comienzo de una batalla prolongada.

(daniel.haxx.se)

Desarrollo

Curl Seguro: Creando Código C Confiable para Miles de Millones de Instalaciones

2025-04-07

El equipo de curl comparte sus prácticas para crear herramientas de transferencia de red seguras y confiables en C. Destacan la importancia de las pruebas exhaustivas, incluyendo el análisis estático y el fuzzing. Aproximadamente el 40% de sus vulnerabilidades de seguridad provienen de la falta de seguridad de memoria de C, pero las normas de codificación estrictas, la aplicación de estilos y la evitación de funciones riesgosas mantienen este número bajo. El estilo de codificación de curl enfatiza la legibilidad y el mantenimiento a través de límites de longitud de línea, nombres de variables cortos y compilaciones sin advertencias. El manejo robusto de errores, la estabilidad de la API y la gestión cuidadosa de la memoria son cruciales para la fiabilidad y la seguridad del software.

(daniel.haxx.se)

Desarrollo Seguridad C

Soporte experimental de curl para HTTPS RR: La próxima generación de registros DNS

2025-03-31

curl ahora ofrece soporte experimental para el nuevo tipo de registro DNS HTTPS RR, proporcionando una forma más moderna que SRV y URI para transmitir metadatos del servicio, como la configuración de ECH, listas ALPN, nombres de host de destino, puertos y direcciones IP. HTTPS RR mejora la seguridad de la conexión HTTPS (mediante el cifrado ECH del campo SNI) y la eficiencia (pre-obteniendo información de soporte HTTP/3), y simplifica el descubrimiento del servicio. curl logra la resolución de HTTPS RR a través de DoH, getaddrinfo() o c-ares, pero actualmente carece de desactivación en tiempo de ejecución y aún tiene soporte incompleto para HTTPS RR.

(daniel.haxx.se)

Desarrollo

Análisis de tráfico de curl.se: 2 TB/día, ¿de dónde proviene todo el tráfico?

2025-02-22

El sitio web curl.se maneja 62,95 TB de tráfico por mes, con un promedio de más de 2 TB por día y un pico de 3,41 TB. Si bien no hay registros detallados, los datos muestran que de 12,43 mil millones de solicitudes, solo 1,12 millones fueron descargas de paquetes curl (menos del 10% del tráfico total). La gran mayoría del tráfico (99,77%) es gestionado por la caché CDN de Fastly. Sin embargo, el uso generalizado de HTTP/1.1 y TLS 1.2 sugiere una cantidad significativa de tráfico que no proviene de navegadores, posiblemente de bots u otras herramientas. El análisis indica que 207,31 millones de descargas de archivos de 100 KB a 1 MB (probablemente certificados CA) podrían explicar una gran parte del tráfico restante. El tráfico está distribuido uniformemente en todo el mundo, a diferencia de las concentraciones anteriores en China.

(daniel.haxx.se)

Tecnología tráfico de red

La guerra de más de 20 años contra las conexiones inseguras: Una retrospectiva de libcurl

2025-02-11

Desde que curl comenzó a soportar SSL en 1998, la verificación de certificados predeterminada ha sido una piedra angular de la seguridad de la red. Sin embargo, los desarrolladores continúan deshabilitando esta verificación crucial, lo que lleva a vulnerabilidades generalizadas. Este artículo relata la evolución de libcurl, explora los peligros de deshabilitar la verificación y propone soluciones como mejoras en la API, documentación mejorada e informes de errores proactivos. La lucha por conexiones seguras es una batalla a largo plazo.

(daniel.haxx.se)

Desarrollo verificación de certificados

OpenSSL Rechaza la API QUIC: ¿Un Obstáculo para la Adopción de HTTP/3?

2025-01-21

OpenSSL, la biblioteca TLS más popular, ha rechazado añadir una API QUIC a sus próximas versiones, lo que supone un obstáculo significativo para la adopción generalizada de HTTP/3. A pesar de una solicitud de extracción de la comunidad (PR8797) que ofrecía las API necesarias, el comité de gestión de OpenSSL decidió construir una pila QUIC completa desde cero, un proceso que se espera que tarde varios años. Esta decisión ha generado frustración en la comunidad, ya que existen bibliotecas QUIC maduras. Microsoft y Akamai crearon quictls, un fork de OpenSSL con la API QUIC, como solución alternativa. Sin embargo, esta no es una solución sostenible, dejando el futuro de la adopción de HTTP/3 incierto debido a la decisión de OpenSSL.

(daniel.haxx.se)

Desarrollo

curl recibe una actualización importante: compatibilidad con la lectura de archivos parciales

2024-12-30

El próximo lanzamiento de curl 8.12.0 presenta una nueva funcionalidad emocionante: la capacidad de leer archivos parciales. Los usuarios ahora pueden aprovechar un nuevo sistema de variables para extraer rangos específicos de bytes de archivos y usarlos en las líneas de comandos de curl. Esto agrega flexibilidad significativa a la forma en que curl maneja los archivos, permitiendo tareas como extraer el comienzo de un archivo como nombre de usuario o una sección en el medio para un cuerpo POST. Esto expande significativamente las capacidades de curl, brindando a los usuarios una herramienta de línea de comandos más robusta.

(daniel.haxx.se)

Desarrollo manejo de archivos

cURL y libcurl abandonan Hyper

2024-12-22

Después de cuatro años de experimento, el proyecto cURL ha anunciado que abandona el uso de la biblioteca Hyper basada en Rust como backend HTTP. A pesar de las ventajas de seguridad de memoria de Hyper y el apoyo de Let's Encrypt, la falta de demanda de usuarios y la participación de desarrolladores llevaron a su terminación. El equipo de cURL citó el alto costo de mantener el código Hyper y el enfoque en mejorar y mantener la base de código existente. Si bien el experimento fracasó, cURL obtuvo una valiosa experiencia y mejoró sus capacidades de manejo HTTP.

(daniel.haxx.se)

Desarrollo

Estado actual de HTTP/3: Desafíos y oportunidades en el camino hacia la adopción

2024-12-16

Las especificaciones de HTTP/3 están completas, pero esperan su publicación final. El soporte del lado del servidor es sorprendentemente alto, especialmente entre los sitios web principales. Grandes empresas como Cloudflare han habilitado HTTP/3, y los navegadores lo admiten ampliamente. Sin embargo, el soporte del lado del cliente, como en curl, sigue siendo incompleto, en gran parte debido al desarrollo retrasado de bibliotecas TLS con soporte QUIC. El soporte QUIC de OpenSSL se ha retrasado, mientras que las alternativas como BoringSSL y quictls tienen limitaciones. Si bien HTTP/3 promete mejoras de velocidad, los beneficios del mundo real dependen de las condiciones de la red. La adopción generalizada depende de la publicación de la especificación y de bibliotecas TLS maduras.

(daniel.haxx.se)

Desarrollo