Seguridad en las aplicaciones Web, enfocada en los usuarios
Les presento un interesante post de Federico Almada:
Hace unos días, comentaba sobre un detalle que no me gustó (el envío de la clave cuando me registré) al hacer la revisión de un sitio, y uno de nuestros lectores (llamado Pablo) me consultaba el porqué de mi desagrado ante tal aspecto.
Gracias a dicha consulta, se me vino a la cabeza la idea de hacer un listado con distintas formas de proveer seguridad en las aplicaciones Web, pero no enfocada en la aplicación en sí, sino más bien en sus usuarios.
Introducción
La idea de este artículo no es, para nada, proveer formas de asegurar un sitio o aplicación web contra ataques de terceros, sino más bien de repasar consejos básicos sobre que (no) hacer, para mantener la confianza de nuestros usuarios.
Aquellos que no sean desarrolladores, podrán utilizar la información vertida en este artículo para evaluar cuanta seguridad les proveen los sitios vía web que utilizan a diario (desde redes sociales, webmail, y demás).
Paranoia
Para poder hablar de seguridad, muchas veces es necesario adoptar una mirada paranoica… es decir, desconfiar de todo. Ojo, esto no quiere decir que desconfíen de mí cuando doy estos consejos, pero tampoco les digo que apliquen plena confianza en lo que les recomiendo… sino más bien que lo tomen como un dato, para que luego ustedes amplíen la información, y puedan hacer comentarios acorde a lo aprendido.
Si pienso en lo que he vivido por Internet, desde el momento que empecé a navegar (en conexiones a pedales por dial-up), tengo que admitir que muchas prácticas que listaré en el artículo… no se daban al comienzo, pero que si fueron apareciendo con el pasar de los años.
Aún así, muchas aplicaciones que tienen registro de usuarios, todavía no toman las medidas necesarias para proteger a estos, y peor aún, a veces los mismos dueños de dichas aplicaciones suelen abusar de dicha escasez de seguridad.
Registro de usuarios
Normalmente, cuando nos damos de alta en un sitio web, solemos recibir un correo de confirmación en donde nos invitan, o bien a ingresar en un enlace… o en todo caso, a probar nuestro recién creado usuario.
En el caso de que recibamos una confirmación, estas suelen ser para validar nuestra aceptación de dicho registro, lo cual ya nos demuestra cierto compromiso por parte del sitio en cuanto a sus usuarios. Si bien puede parecer de poca importancia, esto nos demuestra -a grandes rasgos- que el sitio no aceptará a miembros que no confirmen una asociación correo=usuario.
En el caso de que no recibamos una confirmación, ya tenemos un problema, dado que cualquier persona que lo desee podría dar de alta un usuario en dicho sitio, sin que tenga consentimiento del dueño de la cuenta de correo (o sea, nosotros). La prueba de esto no está muy lejos de nosotros, simplemente encontrar un sitio que cumpla con esta condición, y luego tratar de suscribir algún conocido sin que este sepa.
Aún así, este aspecto a veces se pasa por alto (y se justifica), por el simple hecho de facilitar el registro de usuarios (algunos dicen que es para minimizar el problema del nuevo usuario, otros piensan que es para maximizar la base de usuarios…).
Otro aspecto a tener en cuenta (y el que llevó a la creación de este artículo), es el envío de usuario y clave a nuestro correo, ni bien nos registramos. Este aspecto lo podríamos discutir como ser de baja (in)seguridad, pero si pensamos en la posibilidad de que nuestra cuenta de correo es accedida desde una máquina pública, esto nos deja con la posibilidad de que alguien logre acceder al correo si nos olvidamos de borrarlo. Dicha clave, a su vez, podría haber sido usada en uno o más servicios distintos al problemático, lo que amplía la gravedad del asunto, dejando una de nuestras claves… a la deriva.
Reitero lo que dijo Pablo, “…por algo las claves no se muestran ni en los campos de formularios que llenamos…“, en relación a que si la clave es personal y secreta, entonces no debería ser revelada en ninguna instancia.
Consejo: El registro debería ser de forma rápida y fácil, con envío de confirmación para validar que dicho usuario tiene dicha cuenta de correo en su posesión, y en dicho correo se debe enviar solo información sobre el usuario (no la clave, ni siquiera características de esta [longitud, primera letra, etc], ya que cualquier dato hace más vulnerable a la misma).
Seguir leyendo
Hace unos días, comentaba sobre un detalle que no me gustó (el envío de la clave cuando me registré) al hacer la revisión de un sitio, y uno de nuestros lectores (llamado Pablo) me consultaba el porqué de mi desagrado ante tal aspecto.
Gracias a dicha consulta, se me vino a la cabeza la idea de hacer un listado con distintas formas de proveer seguridad en las aplicaciones Web, pero no enfocada en la aplicación en sí, sino más bien en sus usuarios.
Introducción
La idea de este artículo no es, para nada, proveer formas de asegurar un sitio o aplicación web contra ataques de terceros, sino más bien de repasar consejos básicos sobre que (no) hacer, para mantener la confianza de nuestros usuarios.
Aquellos que no sean desarrolladores, podrán utilizar la información vertida en este artículo para evaluar cuanta seguridad les proveen los sitios vía web que utilizan a diario (desde redes sociales, webmail, y demás).
Paranoia
Para poder hablar de seguridad, muchas veces es necesario adoptar una mirada paranoica… es decir, desconfiar de todo. Ojo, esto no quiere decir que desconfíen de mí cuando doy estos consejos, pero tampoco les digo que apliquen plena confianza en lo que les recomiendo… sino más bien que lo tomen como un dato, para que luego ustedes amplíen la información, y puedan hacer comentarios acorde a lo aprendido.
Si pienso en lo que he vivido por Internet, desde el momento que empecé a navegar (en conexiones a pedales por dial-up), tengo que admitir que muchas prácticas que listaré en el artículo… no se daban al comienzo, pero que si fueron apareciendo con el pasar de los años.
Aún así, muchas aplicaciones que tienen registro de usuarios, todavía no toman las medidas necesarias para proteger a estos, y peor aún, a veces los mismos dueños de dichas aplicaciones suelen abusar de dicha escasez de seguridad.
Registro de usuarios
Normalmente, cuando nos damos de alta en un sitio web, solemos recibir un correo de confirmación en donde nos invitan, o bien a ingresar en un enlace… o en todo caso, a probar nuestro recién creado usuario.
En el caso de que recibamos una confirmación, estas suelen ser para validar nuestra aceptación de dicho registro, lo cual ya nos demuestra cierto compromiso por parte del sitio en cuanto a sus usuarios. Si bien puede parecer de poca importancia, esto nos demuestra -a grandes rasgos- que el sitio no aceptará a miembros que no confirmen una asociación correo=usuario.
En el caso de que no recibamos una confirmación, ya tenemos un problema, dado que cualquier persona que lo desee podría dar de alta un usuario en dicho sitio, sin que tenga consentimiento del dueño de la cuenta de correo (o sea, nosotros). La prueba de esto no está muy lejos de nosotros, simplemente encontrar un sitio que cumpla con esta condición, y luego tratar de suscribir algún conocido sin que este sepa.
Aún así, este aspecto a veces se pasa por alto (y se justifica), por el simple hecho de facilitar el registro de usuarios (algunos dicen que es para minimizar el problema del nuevo usuario, otros piensan que es para maximizar la base de usuarios…).
Otro aspecto a tener en cuenta (y el que llevó a la creación de este artículo), es el envío de usuario y clave a nuestro correo, ni bien nos registramos. Este aspecto lo podríamos discutir como ser de baja (in)seguridad, pero si pensamos en la posibilidad de que nuestra cuenta de correo es accedida desde una máquina pública, esto nos deja con la posibilidad de que alguien logre acceder al correo si nos olvidamos de borrarlo. Dicha clave, a su vez, podría haber sido usada en uno o más servicios distintos al problemático, lo que amplía la gravedad del asunto, dejando una de nuestras claves… a la deriva.
Reitero lo que dijo Pablo, “…por algo las claves no se muestran ni en los campos de formularios que llenamos…“, en relación a que si la clave es personal y secreta, entonces no debería ser revelada en ninguna instancia.
Consejo: El registro debería ser de forma rápida y fácil, con envío de confirmación para validar que dicho usuario tiene dicha cuenta de correo en su posesión, y en dicho correo se debe enviar solo información sobre el usuario (no la clave, ni siquiera características de esta [longitud, primera letra, etc], ya que cualquier dato hace más vulnerable a la misma).
Seguir leyendo
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!