Medidas de seguridad para aplicaciones web.

Hola. primero que nada quiero comentar que abri un blog para personalizar pero he tenido problemas con mi servidor. pues a falta de eso publicare aqui. hoy como dice el titulo hablare de que medidas de seguridad podemos tomar para etar mas seguros cuando ofreces o levantas una aplicación web personal o empresarial. bueno comencemos.

las cosas de las que hablare que podemos y deberíamos implementar en nuestros sitios web son las siguientes, pero toma en cuenta que hablare en el uso de PHP pero igual aplican estas para todos los lenguajes que quieras usar:

  • inyección de código: esta es la mas conocida y la que mas debería de preocuparte. imagina que tienes un sitio web muy bonito y que este sitio web maneja información. supongamos que vendes piñas. entonces tendrías que manejar (se me ocurre) precios, colores, ventas, imágenes, usuarios, etc(la verdad no vendo piñas y nunca he desarrollado un sitio). pues imagina que tienes un formulario de contacto por la necesidad de que tus usuarios quieran entrar a publicarte un comentario bonito. pues al tu darle entrada con esto este comentario se ilustrara en tu pagina junto una lista de otros comentarios y a la vez tienes que guardar esos comentarios en una base de datos. entonces el problema esta en que tu al poner ese espacio para comentarios con buenas intenciones no piensas que estas dando un acceso indirecto a una base de datos que maneja tu información.  esto suena mas horrible aun, ya que con esto un usuario mas experimentado podría introducir una consulta SQL en ese campo de formulario que al querer tu gestor de base de datos introducirla (si es que estas haciendo de manera sencilla la conexion) a una de tus tablas detectara código SQL y el como no es un humano interpretara ese código como una sub -consulta que ejecutara y de esta manera tus datos no estan seguros. además de esto puede ser que también introduzca código HTML (en caso de que tu aplicación sea web).
  • No contar con una estructura segura: supongo que todos saben que al crear un proyecto debes organizar todos tus archivos como imágenes, estilos, archivos js, archivos de código, librerías, y demas cosas ya que si no tienes este tipo de estructuras todo el proyecto estara revuelto y esta todo horrible. aun asi esta estructura puedes usarla para solo aprender pero una vez que aprendes y quieres desarrollar profesionalmente seria bueno que pienses en implementar un modelo para tu desarrollo que te ayude a manejar una vista que cargara todos tus contenidos, un controlador, un modelo y un archivo para eventos. con esta estructura que es la de tipo MOVE (investiga sobre esto ya que no puedo escribir sobre cada cosa que menciono porque son muchas) ten la certeza de que no sera mas fácil para un usuario entrar a tus archivo y obtenerlos.
  • Dejar permisos de Escritura activados:  al tu comprar un servicio de servidores ellos te dan un usuario y una contraseña con la cual tu puedes entrar y subir tus archivos. bueno, pues te dan un archivo de tipo administrador que por lo general es de nombre ROOT y puedes cambiarlo o crear nuevos usuarios. pero el punto importante que quiero plantear es que para subir tus archivos el servidor solo permite que los suba el usuario ROOT y  si tu no usas otro usuario alguna otra persona puede entrar a tu cuenta conociendo tu IP e intentando con el usuario por defecto y de esta manera subir o borrar archivos que tu tienes y esto no es nada bueno.

Solucion: hoy en dia tenemos muchas soluciones para implementar y evitar estos problemas, desde el uso de un framework (Zend, Laravel, Cake, symfony, Yii y otros mas de php) que cubren por lo general muchos de los problemas comunes de seguridad y entre ellos tenemos los mencionados, implementación de modelos de desarrollo (DAO, MVC, etc), librerías intermediarias para conexiones con base de datos (para el caso de php tenemos PDO), el modelo lo puede implementar a mano con objetos si eres bueno y si no podemos usar Javascript y una librería para poder implementar un modelo de seguridad (Backbone, Angular, Moustache, etc) puedes buscar algo mas de información porque si hablo  yo sobre estas medidas esta entrada se volvería enorme.

 

hay mas medidas de seguridad pero son bastantes que no acabaria de hablar de ellas. puedes preguntarme por mas de ellas o comentarme algo que quieras en un comentario. saludos y buenas noches 🙂

Anuncios

Un comentario en “Medidas de seguridad para aplicaciones web.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s