25/09/2013

Mejorando la seguridad de nuestro sitio web

Mejorando la seguridad de nuestro sitio web

Desarrollar un sitio o una aplicación web no sólo exige implementar las funciones pedidas por el impulsor del proyecto. El estándar ISO/IEC 9126 establece seis aspectos principales para determinar la calidad de un producto software, divididos cada uno en tres o más cualidades. Esto significa que, si queremos que nuestro software sea de calidad, debemos incluir muchas características además de las pedidas explícitamente por, por ejemplo, el cliente.

Una de ellas es la seguridad. Las aplicaciones web deben estar protegidas contra ataques que pueden brindar acceso a usuarios malintencionados o impedirlo a usuarios legítimos:

  • Denegación de servicio (DoS/DDoS). Consiste en saturar el servidor donde se aloja el sitio enviándole una cantidad excesiva de peticiones en poco tiempo, de manera que colapse y ya no pueda atender accesos legítimos. En general, las aplicaciones de DDoS dejan en el servidor huellas fáciles de rastrear, permitiéndonos identificar y bloquear las IP atacantes. Algunas herramientas reconocen cuándo el servidor es víctima de estos ataques y desvían el tráfico malicioso.
  • Defacement. Se trata de una modificación de una o varias páginas del sitio web, para reemplazar su contenido por un mensaje del autor del ataque. Para ello son necesarios los datos de acceso del administrador. La forma más común de conseguirlos es a través de SQL injection, una técnica que consiste en hacer consultas en lenguaje SQL a la base de datos del sitio para acceder a información privada. Para evitarla podemos impedir la inserción de ciertos comandos a través de expresiones regulares.
  • Phishing. Esta técnica no involucra un ataque directo al sitio web, pero decidimos incluirla por el peligro que puede representar para nuestros usuarios. Una de sus variantes es conducir a la víctima a una página de login que simula brindarle acceso a nuestra aplicación, pero en realidad envía su usuario y contraseña a una base de datos del atacante. Generalmente, el usuario es luego redirigido al sitio web real. En esa instancia podemos reconocer el origen del tráfico y advertirle al usuario sobre lo que acaba de hacer, sugiriéndole que cambie su contraseña.

Proteger a los usuarios de nuestra aplicación es indispensable para brindarles un servicio de calidad.

0

angularjs Aplicaciones en Facebook aplicaciones mobile behavioral targeting Botones Call-to-action breadcrumbs breadcrumbs web búsqueda de personal búsqueda facetada Call-to-action buttons Client-side cliente-destacado cms a medida coding comercio electrónico content marketing CSS3 PIE cuanto debe pesar un sitio data-driven web design Datos estructurados Defacement Denegación de servicio Desarrollar una aplicación web desventajas de PhoneGap diseñar newsletters diseño web diseño web argentina diseño web esqueuomórfico Diseño web responsive Diseño web responsivo diseño web santa fe diseño web Smart TV diseño web televisores DOM desde PHP enlaces rotos filtros de búsqueda flash flat web design formularios sitio web fragmentos enriquecidos función de autocompletar futuro de la realidad aumentada html HTML5 html5shiv inbound marketing Initializr interfaces Web para televisores javascript jobs jQuery Mobile Mapbox maquetado html/css maquetador web masonry layout menú de navegación menú desplegable Metodologías ágiles Modernizr MVC Navegación por teclado oferta laboral OpenStreetMap paginas de Facebook Paper js Paper js framework personas Phishing plan de QA Polyfills polymer portfolio-destacados portfolio-inicio programacion de CMS Programadores WordPress página de contacto página de error 404 que es Backbone.js Realidad aumentada Resultados instantáneos server-side skeuomorphic design sliders y usabilidad soporte Internet Explorer Storytelling Underscores usabilidad usabilidad buscadores user-centered design ux velocidad de carga web Vendor prefixes ventajas jQuery Mobile Ventanas integradas versiones antiguas de Internet Explorer WAI-ARIA web components web imprimible Web Semántica WordPress para ecommerce