Medidas de seguridad en una aplicación web
Enviado por jdgaviria83 • 22 de Marzo de 2014 • Trabajos • 591 Palabras (3 Páginas) • 230 Visitas
Este aspecto de seguridad es uno de los más importantes a tomar en cuenta a la hora de mantener la seguridad en la aplicación Web. Los problemas de este tipo se presentan con mayor frecuencia cuando no se protegen correctamente los valores de sesión y las credenciales de autenticación durante su ciclo de vida. Estas deficiencias pueden desencadenar en que un atacante pueda secuestrar cuentas de usuarios o administradores de la aplicación y así socavar la autorización y control de rendición de cuentas, y violaciones a la privacidad.
Vulnerabilidad
Las fallas en el mecanismo principal de autenticación es algo común en las aplicaciones Web, pero las deficiencias que potencian esta vulnerabilidad se presentan más a menudo a través de las funciones auxiliares de los mecanismos de autenticación tales como cerrar sesión, administración de contraseñas, tiempo de duración de la sesión, recordarme en este equipo, la pregunta secreta, y actualización de cuentas.
Medidas de Protección
La autenticación en una aplicación esta basada en la comunicación segura entre la aplicación y el cliente y el almacenamiento de credenciales de sesión. En primer lugar hay que asegurarse de que si un sistema maneja datos muy críticos (como el caso de un banco) se debe usar SSL (Secure Sockets Layer protocolo que proporcionan comunicaciones seguras en Internet mediante el uso de criptografía) en todas las partes que se requiera, también se debe asegurar de que todas las contraseñas son almacenadas en forma encriptada o un resumen hash de la misma. Entre las consideraciones más importantes que se deben tomar están:
Utilizar solo mecanismos de manejo de sesión diseñados y escritos directamente en la aplicación. No utilizar librerías ni o clases ya creadas que manipulen las sesiones bajo ninguna circunstancia.
Limitar o eliminar las cookies de autenticación o período de sesiones. Como las funcionalidades de "recordarme en este equipo" o de la funcionalidad de Single Sign On (SSO procedimiento de autenticación que habilita al usuario para acceder a varios sistemas con una sola instancia de identificación). Esto no se aplica a mecanismos de SSO robustos y bien probados.
Utilizar un único mecanismo de autenticación. Este mecanismo debe ser robusto además se debe asegurar que no pueda ser fácilmente objeto de ataques tipo spoofing o de repetición. No se recomienda tampoco hacer este mecanismo demasiado complejo, ya que luego se puede ser objeto de su propio ataque.
No permitir que el proceso de acceso a la página empiece desde una página sin cifrar. Siempre comience el proceso de acceso desde una segunda página encriptada con un nuevo período de sesión para prevenir el robo de credenciales de sesión y los ataques de phishing.
Considerar la posibilidad
...