comparte el articulo 

La seguridad también es un tema de los diseñadores de páginas web (segunda parte)

Actualizado el 10/04/2012 < > 0 Comentarios

Resumen: Como mantener segura nuestra web y los datos de nuestros usuarios.

En este artículo, continuaremos viendo las medidas que se deben tomar para mantener nuestra web lo más segura posible.

Control de acceso a los documentos del servidor

La mayor parte de la información, mucha de ella sensible, es guardada en el servidor en diferentes archivos. Resulta bastante sencillo acceder a esos archivos desde un navegador, por lo que es necesario que se tomen ciertos recaudos.

Los propios proveedores de hosting son los que se encargan de ofrecer, dentro de sus funcionalidades, la protección de ciertos documentos o carpetas enteras, las que solo serán accesibles por el propio sistema o mediante la introducción de nombre de usuario y contraseña. Cuando un navegador intenta acceder mediante HTTP a dichos archivos o carpetas, el servidor devuelve una página de error 401, que indica que no se tienen los permisos necesarios para acceder a esta información almacenada.

Protección en el intercambio de información

Internet no es seguro, ya que es posible que cualquier persona intercepte los intercambios de información, como por ejemplo los correos electrónicos, o accedan a información privada cuando se utilizan formularios.

Para conseguir proteger este tipo de información, se han creado soluciones consistentes en el encriptado de los datos introducidos en los correos electrónicos o en los formularios. Para ello, es necesario contar con certificados para la página web y para los correos electrónicos expedidos por una autoridad competente.

Salvo los casos en los que se brinda algún certificado de prueba por un período de tiempo limitado, los certificados expedidos por estas entidades son de pago, y dependiendo de las funciones necesarias varían en el precio. En el caso de que la web se trate de una página de comercio electrónico, es indispensable contar con este tipo de seguridades para que los clientes puedan realizar transacciones seguras y dar la información financiera necesaria sin que esta sea interceptada.

Para que una página web pueda vender con tarjeta de crédito, las compañías que las expiden ponen como condición excluyente que exista este tipo de seguridad, además de exigir la utilización de correo electrónico seguro para tramitar la solicitud ante ellos.

Política de privacidad

Además de darle seguridad a los usuarios de que sus datos se encuentran seguros cuando se almacenan en nuestras bases de datos, es necesario asegurarle de alguna forma que no utilizaremos dicha información en otra forma que no sea en los servicios que se le brinda. Para ello es necesario que el usuario tenga acceso a un documento en el cual garantizamos que esto será así, que se denomina generalmente “Política de privacidad”, y que consiste en nuestra declaración en este sentido.

En muchos servicios web, como Google, el hecho de contar con una política de privacidad escrita y al alcance de los usuarios es una práctica valorada positivamente.

Firewall y proxy

Si bien se trata de una línea de defensa que protege más al servidor en si mismo que a las páginas web en particular, el hecho de que un servidor sea atacado puede resultar indirectamente en el ataque a una web. Para defender a los servidores de la intromisión de extraños, se utilizan los firewall (del mismo tipo que impide la entrada a nuestros ordenadores) y los proxies.

Estos últimos provocan el re-enrutamiento de las solicitudes, de forma tal que cuando un usuario dirige su navegador hacia un servidor, éste es el que dirige las solicitudes a las direcciones reales.

Los gestores de contenidos

Una de las formas de ataque más conocidas es a través de los bugs o errores de programación, que dejan huecos que son utilizados por los piratas informáticos. La mayoría de las actualizaciones de los gestores de contenidos y páginas dinámicas se trata de actualizaciones de seguridad.

Esta es la razón por la que se indica en forma constante a los propietarios de páginas web realizadas en este tipo de plataformas, que es importante mantener los gestores de contenidos actualizadas en su última versión disponible. Si bien es cierto que la mayoría de los CMS cuentan con métodos para indicar a los administradores que hay actualizaciones disponibles, es frecuente ver que estas actualizaciones no se llevan a cabo, quizá por falta de tiempo o por desconocimiento.

Otro elemento importante a tener en cuenta, es que no todos los gestores de contenidos cuentan con el soporte necesario para mantener su programación actualizada, y en otros casos, hay versiones que se han dejado sin soporte por contar con una nueva versión del mismo. Un ejemplo de ello es Joomla, que no brinda soporte para su versión 1.0. Pero increíblemente, todavía se encuentra una buena cantidad de páginas web que no han realizado la migración.

Pero siempre se debe tener en cuenta que la principal vulnerabilidad de las páginas web dinámicas son sus propios administradores, ya que se cometen errores que son fácilmente subsanables. Por ejemplo, es frecuente que los sitios tengan como nombre de usuario del administrador el que da el propio gestor por defecto (por ejemplo, admin), por lo que para vulnerar la entrada a la web solo resta conocer la contraseña. Si se utiliza un sistema de fuerza bruta para ello, la cantidad de tiempo necesario para descifrar la entrada es mucho menor.

Además, siempre hay que ser precavido y utilizar nombres de usuario y contraseñas que lleven símbolos, mayúsculas y números, de forma tal que sea mucho más difícil de descifrar.

Monitoreo de seguridad

Hasta hace un tiempo, controlar que una web estuviera segura era un trabajo manual, que debía realizar el administrador del sitio con sus conocimientos. Sin embargo, hoy en día es posible utilizar algunas herramientas online que permiten monitorear las páginas web en busca de vulnerabilidades, desprotección de datos sensibles, errores del sistema, etc. Un ejemplo de ello, aunque hay otros servicios similares, es el que se encuentra aquí.

Entre otras funciones, detecta los cambios producidos en caso de un Defacements., detecta si se cumplen las condiciones de privacidad de información de los usuarios, como por ejemplo archivos de usuarios y contraseñas accesibles desde el exterior, detecta si la página tiene exploits que infectan a los visitantes (En caso de que un atacante colocara un exploit en la página con NSIA es posible detectarlo), analiza si la página Web reporta información delicada sobre la estructura del sistema en sus mensajes de error, permite configurar acciones cuando detecta un cambio en la página Web, por ejemplo el envío de un mensaje de texto (IM, email, SMS) o la ejecución de una acción de escritura en la página Web.

Conclusión

Con los consejos que hemos dado no alcanza para asegurar que serán víctimas de un ataque, pero al menos será menos fácil de hacer. Cuanto más sencillo sea vulnerar nuestra seguridad, más grande será el número de personas capacitadas para ello. Restaurar una página web atacada es un proceso complejo y en caso de no contarse con los respaldos necesarios será imposible; pero además, debemos ser conscientes de que no solo se agrede a nuestro sitio y a nosotros mismos, sino que también se trata de un ataque a todos nuestros usuarios, de los que en muchos casos tenemos información sensible de la que somos responsables.

Publicado el 04/04/2011, última actualización 10/04/2012.

Licencia: Contenido exclusivo de LaWebera.es. Prohibida su copia.

Autor: Andrés Fernández

URL: LaWebera.es :: Diseño Web

(Subir al texto)

Añadir Comentario

* Campos obligatorios

Meneame Bitacoras