| powered by FreeFind |
Nota 1Revisión de los problemas y soluciones en el desarrollo de animaciones gráficas en Java
Nota 2Licencias del software abierto.
Nota 3Modelos de aplicaciones web independientes de la plataforma
Nota 4Lista de la seguridad en aplicaciones Web.
Nota 5Anotaciones sobre mi primer proyecto basado en XML y XSL.
Nota 6Como proteger las Aplicaciones Web de los ataques del exterior.
Nota 7Recolectores de Noticias sobre Java, XML.
Nota 8Relájate y disfruta... con Applets Java
Nota 9Entorno de desarrollo basado en XML/XSL para crear y mantener Aplicaciones Web
Nota 10Presentación del entorno de desarrollo de esta Web.
Digital ToTSoL un proyecto personal de Ferrán Casasús Rodó
Lista de la seguridad en aplicaciones Web.
- Nota 4: actualizada el 25/06/2000
- Anotación:
En la revista Linux Journal, edición española, de mayo, aparece publicado un artículo de Nalnessh Gaur sobre la seguridad.
Se trata de una revisión de las comprobaciones fundamentales concernientes a la seguridad de las aplicaciones en la Web y de las medidas a tomar para minimizar riesgos.
Así tenemos:- Envenenamientos de cookies.
- No dejar información vital en las cookies. (hay dos tipos de cookies: las persistentes y las efímeras). Utilizar siempre que sea posible cookies efímeras. Conceder poco tiempo de existencia a las persistentes. Encriptarlas (algunos servidores parten la información en múltiples cookies).
- Manipulación de formularios.
- Contra esto: comprobación de las referencias en el servidor, compruebe que los campos son correctos y con tamaños correctos, no almacene información crítica de un usuario en campos ocultos de un formulario.
- Atajos que evitan formularios intermedios.
- Contra esto: Chequear que ya tengamos los datos de los formularios anteriores. Mantener los contadores de referencias en el servidor: de esta manera, sólo se llegará a los formularios a través de las páginas que lo enlazan.
- Consultas camufladas a una base de datos relacional.
- Por ejemplo cambiar los campos de la consulta por *. Chequear las peticiones que se realizan, léase: campos, tablas, valores, etc. Compruebe la ampliación de permisos para acceder a los datos pedidos.
- Sesiones con duración limitada en sesiones SSL.
- Las SSL encriptan los datos y establecen conexiones seguras, pero hay que mantener el mínimo tiempo posible la duración de una sesión, para dificultar la posibilidad de que alguien la desencripte, recordar que en EEUU la clave es de 40 bits, y que ésta puede llegar a ser desencriptada.
- Contenidos de directorios.
- Deshabilitar la posibilidad de consultar los directorios cuando no se encuentra el fichero de arranque por defecto. Podrían llegar al directorio de CGI's.
Como se ve, el artículo es una guía rápida de seguridad, no se refiere a ningún lenguaje de programación en concreto, pero es perfectamente aplicable en el desarrollo de Servlets.
Una última anotación, insistir en el peligro de utilizar plantillas o códigos de programas de ejemplo para el desarrollo de páginas, ya que estos ejemplos no contemplan los temas de seguridad.
Ferrán Casasús Rodó a: 25/06/2000
Subir
Por favor, da tu opinión?
| Copyright © (2000-2001) Ferrán Casasús Rodó Digital ToTSoL |