Seguridad Web, una visión general « »Fids + de todo un poco

Seguridad Web, una visión general Junio 7, 2007

Posted by fids in Seguridad.
trackback

Es conocido por todos, la importancia de la seguridad en los sistemas informáticos, cuanto más en aquellos que son usados por cientos, tal vez miles de usuarios como es el caso de las aplicaciones web. Hace una decada, la mayoría de aplicaciones era basicamente monousuario, y una de las pocas maneras de poder acceder a la información era a través de la red interna de la empresa, y claro, conociendo sobre los sistemas a hackear…

La seguridad en los años pasados, fue mas que todo, tener un buen antivirus, y en alguna que otra aplicación cliente servidor que negaba el acceso a su base de datos desde terminales internas.

La verdad es que muchas de esas aplicaciones desktop de años pasados, no tenian mucha seguridad. Solo basta con ingresar a una de sus aplicaciones, y manipular el login insertando una cadena SQL maliciosa, para que se pueda apreciar la real dimensión del problema. Pueden hacer la prueba con sus respectivas aplicaciones, un 90% de ellas sufriran de algun tipo de ataque de inyecciones SQL.

Lo que sucedió es que en el pasado, nuestras aplicaciones las usaban pocas personas, a lo mucho 30, en una intranet, y la mayoria de usuarios no conocia mucho sobre las IT. Ahora el panorama ha cambiado, pues una aplicación web, esta “al aire libre”. Solo podemos ver los miles de ataques diferentes en un servidor web durante años. Y si no tomamos las medidas necesarias, nuestra aplicación seguramente será atacada, tarde o temprano.

Durante el desarrollo de mi tesis, me di cuenta de muchas cuestiones de seguridad, que muchas veces crei innecesarias, era, el claro asomarse a un nuevo paradigma, que siempre debio tenerse en cuenta, pero que no fue asi.

Asi que ahora, en tus proyectos, debes considerar la seguridad, como “esencial”, sea cual fuera la aplicación. Existe para ello toneladas de información disponible en la web. Se han desarrollado muy buenos estándares de seguridad como la ISO/IEC 27001 e ISO/IEC 17799 que cubren un detallado y preciso número de aspectos de seguridad a tocar.

En mi experiencia, he aprendido que al desarrollar una aplicación web, se deben tener las siguientes consideraciones, espero que te sirvan aunque algunas las consideres, un tanto… paranoicas..

Nunca estarás seguro, el término seguridad total es utópico, solo podemos hablar de un sistema fiable
La seguridad empieza por un planeamiento, una política de seguridad que se debe tomar te guste o no
La implementación de la seguridad empieza a nivel físico, considerala, tu no sabes quien podrá tocar tu equipo
Estarás + seguro? mientras mas claro tengas los roles de tus usuarios y establezcas directivas de seguridad para cada uno de ellos
Piensa que el nivel superior no te protege, y sigue la sgte escalera: [Gestor de BD] – Aplicación – Lenguaje – Servidor Web – Sistema Operativo – Hardware – [Personal] – [Institución]
La seguridad muchas veces esta peleada con el rendimiento (mas vale una app lenta y segura que una rapida y agujereada)
Seguridad no es solo restringir, es disponibilidad, confidencialidad e integridad.
Confunde pero no te entreveres tu mismo en tus configuraciones
Utliliza herremientas de testeo de seguridad sin piedad (considera como herramientas de testeo a tus amigos)
Cuando termines el paso 9, regresa al 1ro, si no lo haces tarde o temprano caeras

Se que hay muchas más, pero son un buen comienzo para desarrollar proyectos fiables en buena medida. Se que es tedioso, a veces da pereza, pero es lo mejor para nuestras aplicaciones. Y recuerda, ser paranoico en el mundo informático y más en el mundo de la seguridad no es un defecto, es una bendicion…

Comentarios»

1. HIJO - Junio 15, 2007: Ta Mr. entre ociosos (no siempre), nos entendemos, en Taru Adun, Fids

Responder
2. neolider - Octubre 20, 2008: hola: interesante el tema sobre todo por que tambien quiero hacer mi tesis de licenciatura sobre seguridad de aplicaciones web y debo deborar ps todo lo concerniente a esto , en el transcurso de la investigacion que estoy desarrollando me he tocado con inumerables formas y metodos que unos y otros y saben que es lo mas importante que despues de casi dos años que llevo trabajando como analista . he curtido algunas ideas que espero poder publicarla en mi blog , gracias por las ideas qui vertidas. atte neolider

Responder
3. fids - Octubre 21, 2008: Sí, el tema de la seguridad es apasionante, aunque también es complejo y muchas veces difícil de entender. Espero puedas hacer una buena ivnestigación y compartirla con los demás…

Responder

Posts Más Vistos
- Dime que Nick tienes y te dire quien eres...
Saludos para todos

Un saludo para todos los malandros, malandrines, malandras, malandrazos y malandrinitos, a los que tienen NULL en el cerebro, a los que son unos rayados con las matemáticas, a los que programan, a los que les gusta el C++ y a los que no, a los que gustan del latín, el ingles, el portugues, aleman, shipibo, quechua, a los que aprenden incluso lenguas artificiales como el quenya y encima lo hablan, a los que no saben apagar la computadora y mueven el mouse en el aire Tambien saludos a todos los que juegan stacraft, a los que usan Linux, a los talibanes que defienden a muerte el software libre, a konki, a tux, a timoteo y a todos los que bajan toneladas de warez cada dia... a los que bajan cracks, incluso a los que no los saben bajar... A los que se apellidan como yo y a los que creen que el mundo ya no sirve. a los ecologistas y a los animalistas? que defienden + a un perro que a un ser humano por ser abortado, a los que creen que PHP es lo mejor, y a los que vendieron su alma a microsoft, a los que ponen nick torrejazas y a los que como yo, los detestan. A mis amigos que viven y que ya no estan, a las ratas inmundas, a los llorones, a los que dicen "soy asi" y a los que dicen "he sido asi, ya no mas". A los ateos que creen que su cerebro puede mas que Dios, y a los creyentes. A todos los que veian nubeluz, mazingerZ, los pitufos, supercampeones, dragon ball, caballeros del zodiaco, a los que se creian seiya, hyoga, ikki, shiryu, shun (este ultimo medio gay), camus, aioria, shaka, dohko, goku, vegeta, pitufina, oliver, benji y demas... A los que se les estruja el cerebro con los punteros, clases, objetos, bases de datos, 1+1, programación en general, a los que no saben apreciar a los programadores a los que los explotan, a los que le echan el pato al S.O cuando es su programa el que esta hasta el queso. Saludos a la mostra de mi hermana, a mi familia (ya parezco chibolo que quiere que lo filmen los de la tele) a todos los de CVC y SA y a los atorrantes que las envidian. A los que creen que uno es hipócrita solo con sentirlo y creen tener un don pokémon para ello sin dar la oportunidad de demostrar lo contrario. A los buena gente, a los que no lo son, a mi router que hasta ahorita se porta de la %$%$/&%/&% a mi teclado, a mi LCD, a mi nokia. Saludos tambien en especial para ti, que lees esto, porque has de estar bien ocioso para leerlo, o porque te causa gracia o porque sencillamente no tienes nada que hacer. A tu viejo, con respeto claro, y a tu hermana si la tienes... no seas mal pensado que yo tengo una que le acabo de mandar saludos mas arriba. A todos los sacerdotes con recto corazón, a los que demuestran dignidad y capacidad en ese cargo tan incomprendido, también a esos hijos de su madre que ensucian sus nombres, a los judios, y los que son recontra judios, protestantes, sectarios, hijos de satán y belsebú, a los que no pisan una iglesia, mezquita, templo, a los que nisiquiera le ponen una velita en navidad. En fin, a todos, porque el saludos debe ser para todos, incluso para esos #"T$W&%$"%$#)(& de los congresistas, politicos mediocres, que dan ganas de escupirlos, matarlos, pisotearlos, mostrarles la miseria que llevan a los paises, a los medicos matasanos, abortistas, abogados corruptos y sin escrupulos. Porque este saludo es como el agua, que no se le niega a nadie :)

Pero porsiacaso, saludos tambien a esos miserables que ni agua quieren regalar, para los que piensan que gota a gota el agua se agota, y de paso para todos aquellos que les encanta la piscina, la playa, las bombas de agua en los carnavales, a los que les fascinaba hacer chupitos con los globos, a los que por el contrario detestan el agua, peor si esta fria. Y como olvidarme de saludar a los que escuchan oasis, nirvana, metallica, linkin park, roxette, guns n' roses, blink 182, alanis, collective soul,a los que no se cansan de escuchar "podre cambiar" y a los que se lo tomaron muy a pecho alguna vez, a los que gustan del buen rock en español, a los que escuchan tb musica instrumental, pasando por zamfir hasta enya, como olvidarme de los que se empecinan en creer que musica es eso que suena por la radio diciendo que es regaetton, idem chacalonero, musica demoniaca, baladas torrejazas, etc. A los que leyeron esto mas de una vez porque debes de estar bien ocioso por mi mare, o porque te ha hecho reir de verdad, que vale la pena leerlo nuevamente. Saludos a los que manejan combis, micros, colectivos, al max5, al batimovil, y a los que los chocan,a los que se cayeron del urbano, moto, mototaxi, bicicleta, triciclo, a los ques e cayeron de la cama cuando dormian, a los que no duermen, a los que les atropelló algun camión, o a los que se bajaron la luna de alguno. A los maniacos pirotecnicos, a los que se quemaron por jugar con fuego, y a los que sin necesidad de ello ya estan quemadazos, ya sea por via natural o artificial. A los jefes que el mundo ha puesto en nuestras vidas solo para demostrarnos que ganan mas sabiendo menos, y que muchas veces la vida que hacen los hombres no es justa, para los que sufren en carne propia la injusticia, la traición, la mentira, la envidia, el hambre que sienten cuando pasan las 6 y no comes ni una galletita. A los chanchos a los rechanchos, a los que como yo, son delgados, a los inteligentes, a los brutos, a los que se pican altoque, a los que no pueden vivir sin el celular, y a los que aun no los necesitan en sus vidas. A los que estupidamente gastan dinero en un celular que cuesta tan igual que una computadora, y encima se alegran porque trae 60MB de memoria. Saludos tambien para todos mis alumnos, en especial para todas las alumnas que se andan quejando y que no pueden estar tranquilas, para los que mandan a hacer sus trabajos y para aquellos que se esmeran por conocer mas y hacen que uno sienta que no es en vano transmitir lo poco que conoce. Y es que el saludo debe ser universal, y nadie debe estar ausente, pues mi saludo es para eso, para no dejarte solo...
Recientes
Categorías
- freebsd
- General
- Hardware
- Programación
- Seguridad
- Software
- Uncategorized
- Videos
Blog Stats
- 6,969 hits
General
- Firefox
Linux
- BrunoProg
- Innov@tech

Watch videos at Vodpod and other videos from this collection.

	Jackson R en Dime que Nick tienes y te dire…
	Irene en Dime que Nick tienes y te dire…
	kamila samper en Dime que Nick tienes y te dire…
	natiii en Dime que Nick tienes y te dire…
	fids en Seguridad Web, una visión…

»Fids + de todo un poco

Seguridad Web, una visión general Junio 7, 2007

Comentarios»

Posts Más Vistos

Saludos para todos

Recientes

Categorías

Blog Stats

General

Linux

Comentarios recientes

Feeds