Seguridad AJAX
Enviado por angyloh • 26 de Julio de 2020 • Tareas • 2.748 Palabras (11 Páginas) • 460 Visitas
Introducción
De forma muy general, las peticiones de un cliente (pc) a un servidor, se podrían describir de la siguiente manera, un cliente le solicita una página Web al servidor, este busca en su interior, si tiene esa página que le solicitan, la envía al cliente solicitante, de esta forma podemos observar que se consume tiempo del lado del servidor para atender la petición, de otra forma, si el cliente le dice al servidor, tengo mi página lista pero necesito algunos datos, el servidor enviaría solo los complementos que requiere el cliente para realizar la tarea, disminuyendo el tiempo de respuesta, es así como AJAX (Asynchronous JavaScript And XML; actualmente no ligadas a XML (Lenguaje de Marcas eXtensible)) trabaja es decir, con AJAX se busca evitar las demoras propias de la solicitudes y respuestas del servidor mediante la trasmisión de datos en segundo plano, usando un protocolo específico para transmitir rápidamente pequeños paquetes de datos.
Con Ajax no es necesario descargar y redibujar la página Web completa, con lo que todo es rápido, al no haber interrupciones, gracias a las comunicaciones en segundo plano, el usuario no percibe las demoras, por ello, es que AJAX se ha convertido en la pieza clave de la nueva generación de aplicaciones conocidas como Web 2.0, si bien AJAX mejora espectacularmente la experiencia del usuario, AJAX dota de mayor dinamismo a las páginas de un sitio Web, rompiendo el flujo normal de navegación clic-espera-resultado, gracias a ello, se pueden crear aplicaciones Web que funcionan como las aplicaciones tradicionales de escritorio, rompiendo la brecha tradicional abierta entre ambos tipos de aplicaciones, por otro lado, también crea nuevas posibilidades de ataques cuando las aplicaciones no se diseña con la seguridad en mente.
Actividades 1 © Universidad Internacional de La Rioja (UNIR)
Asignatura
Datos del alumno
Fecha
Seguridad en Aplicaciones en Línea
Apellidos: EJEMPLO
dd/mm/aaaa
Nombre: PRUEBA
Conjunto de tecnologías AJAX
Seguridad en AJAX
Como vimos anteriormente, AJAX son muchas tecnologías, uniéndose en poderosas nuevas formas, JavaScript utiliza eficientemente el objeto XMLHttpRequest (XHR), permitiéndole crear aplicaciones interactivas, un ejemplo de ello Google Maps.
Tecnología AJAX
Actividades 1 © Universidad Internacional de La Rioja (UNIR)
Asignatura
Datos del alumno
Fecha
Seguridad en Aplicaciones en Línea
Apellidos: EJEMPLO
dd/mm/aaaa
Nombre: PRUEBA
AJAX, es una herramienta, por ello, hay que verla como tal, esto lo menciono, ya que hay implementaciones usando AJAX que no son necesarias para mejorar la usabilidad o la experiencia del usuario, sino experimentos para saber que puede hacer en su conjunto AJAX o colocarlo donde no se necesita.
Como se ha visto hasta ahora, uno de los ingredientes principales de la Web 2.0 es AJAX acompasado por JavaScript, esta fase de evolución ha transformado la Web dentro de una super plataforma, no sorprende, que esta transformación haya dado pie para el aumento en la variedad de gusanos y virus informáticos como: Yammaner, Samy y Spaceflash, portales como Google, Netflix, Yahoo y MySpace, han sido testigos de las nuevas vulnerabilidades en tiempos pasados, esta clase de ataques, pudieron ser lanzados para perfeccionar los exploits de: Pishing, Cross-site Scripting (XSS) y Cross- site Request Forgery (XSRF).
Eso no es inherente a la debilidad de la seguridad en AJAX, pero la adaptación de esta tecnología ha cambiado el desarrollo de las aplicaciones Web, la publicación por entregas de datos y objetos, en los días de DCOM y CORBA, formaban el nivel del núcleo del middleware (puente), en cambio, AJAX puede usar XML, HTML, JS Array, JSON, JS Objects y otros objetos personalizados, usando simplemente GET (método utilizado para pasar variables de una página Web a otra), POST (método utilizado para pasar variables de una página Web a otra) o SOAP (protocolo estándar que define como dos objetos en diferentes procesos pueden comunicarse por medio del intercambio de datos XML), sin invocar ningún middleware.
Ataque Cross-Site Scripting (XSS)
Actividades 1 © Universidad Internacional de La Rioja (UNIR)
Asignatura
Datos del alumno
Fecha
Seguridad en Aplicaciones en Línea
Apellidos: EJEMPLO
dd/mm/aaaa
Nombre: PRUEBA
Con esta integración, el intercambio de datos es relativamente transparente entre, un servidor de aplicaciones y un navegador, la información procedente del servidor, se inyecta en el presente DOM (Modelo en Objetos para la representación de Documentos, Document Object Model), y el estado del DOM del navegador, se recarga.
SOAP
Desafortunadamente las mejores prácticas de AJAX no se han desarrollado, dejando mucho espacio para hacer las cosas mal, incluida la autenticación apropiada, autorización, accesos de control y validación de entradas, algunas áreas potenciales, algunas áreas de preocupación que involucran a AJAX las veremos a continuación:
Se podría argumentar que la dependencia de programación del lado del cliente, abre las posibilidades de traer algunos muy bien conocidos problemas dentro del primer plano, refiriéndose a que, los desarrolladores implementan de manera errónea la seguridad a través de controles del cliente, el uso de AJAX, requiere de muchos pequeños scripts del lado del cliente, los desarrolladores Web, están escribiendo código en ambos lados, tanto del lado del cliente como del lado del servidor, esto puede atraer a los desarrolladores, hacia la implementación de controles de seguridad del lado del cliente, este acercamiento puede ser terriblemente inseguro, ya que los atacantes
...