Entradas etiquetadas internet

Los parámetros y el HTTPS: GET, POST y más

2009/11/09 a 20:05 · Archivado en seguridad ·Etiquetado , , , , , ,

En HTTPS Data Exposure – GET vs POST un resumen rápido de la exposición de los datos que se transmiten mediante el protocolo cifrado https considerando GET, POST, si la conexión va cifrada o no y los diversos participantes en la transmisión y recepción.

Dejar un comentario

Nombres de ficheros y tráfico de datos

2009/06/27 a 14:31 · Archivado en General ·Etiquetado , , , , , ,

Curioso artículo en Thinking outside the box – Filenames and Web Optimization: esencialmente dice que las url’s también forman parte del tráfico web y que las que se utilizan ahora proporcionan mucha información pero también consumen recursos de manera innecesaria.

Es interesante y también es indudable que esos ahorros se pueden producir pero a mi en las cuentas me falta lo que eso representa frente al tráfico ‘relevante’ (el contenido de la página, vaya). Entiendo que siempre que sea posible y razonable deberíamos ahorrar pero complicarse mucho la vida para ahorrarse un 0.1% del tráfico seguramente no vaya a ninguna parte y convenga más concentrarse en otros ahorros. La regla (para mi, claro) sería: ahorrar primero donde más se pueda ganar, creo.

Comentarios (1)

Bitácoras interesantes de programación (I)

2009/04/20 a 20:08 · Archivado en web ·Etiquetado , , , ,

Me pilla con el paso cambiado (por eso pongo el I, porque espero poner las mías próximamente) la entrada de leonidas en BarraPunto, ¿Qué bitácoras de programación lees?.

En los comentarios hay un buen montón de recomendaciones que vale la pena explorar (al menos conozco algunas de esas que yo también recomendaría).

Comentarios (1)

Recogiendo información en la red

2009/03/17 a 12:33 · Archivado en privacidad, seguridad ·Etiquetado , , , ,

La presentación de Christian Martorella, A fresh new look into Information Gathering (pdf) donde da pistas e ideas sobre toda la información que se puede conseguir de alguien en la red me da pié a presentar otro trabajo que iba un poco más allá y que me resultó bastante interesante. Más allá de la inferencia en bases de datos, Jessica Staddon, Philippe Golle y Bryce Zimny hablaban de Web-Based Inference Detection (pdf): si nos llega un documento ofuscado, donde algunos datos ’sensibles’ han sido ocultados o suprimidos, es posible echar mano del amigo Google (o cualquier otro y alguno de sus complementos) para rellenar esos huecos con información libremente disponible en la red.

Aunque seamos anónimos y no haya documentos con partes ofuscadas, lo cierto es que, como contaba el otro día en El futuro ya está (casi) aquí ya hay servicios que son capaces de reunir, a partir del nombre de alguien, un ‘perfil’ internetero bastante completo.

Dejar un comentario

La privacidad y los navegadores

2009/03/16 a 12:27 · Archivado en privacidad, seguridad ·Etiquetado , , , ,

En Cleaning Up After Cookies (pdf) un resúmen de Katherine McKinley sobre la privacidad y los navegadores: parece que no todos cumplen lo que prometen y, lo que es peor, ninguno es muy hábil con la privacidad controlada por los ‘elementos añadidos’ al navegador, como puede ser el Flash, Google Gears y otros.

Dejar un comentario

Dos grandes errores en las aplicaciones web y doce consejos para evitarlos

2009/03/04 a 10:56 · Archivado en desarrollo, seguridad, web ·Etiquetado , , , , , ,

Lo acaban de publicar en la Last 25 papers added to the Reading Room. Se trata del documento: Protecting Your Web Apps: Two Big Mistakes and 12 Practical Tips to Avoid Them (pdf).

No me queda claro cuáles son las que consideran los autores (Frank Kim y Ed
Skoudis) los grandes errores, pero los consejos están claros:

  1. Utilizar código de validación conocido y controlado
  2. Especificar el tipo de datos de las varialbes
  3. No definir los caracteres malos, aceptar los buenos
  4. Limitar el tamaño de la entrada
  5. Canonicalizar antes de filtrar
  6. Filtrar todas las entradas
  7. Filtrar en el servidor
  8. No preocuparse porque existan varios niveles de validación
  9. Codificar adecuadamente la salida
  10. Elegir la codificación de salida adecuada
  11. Hacer una auditoría de código
  12. Hacer una prueba de penetración

Para algunos de los temas hablan del proyecto OWASP Enterprise Security API (ESAPI), que propone algunos módulos y funciones relativas a algunas cuestiones como la validación, canonicalización, …

Dejar un comentario

‘Chuleta’ para la prevención de ‘Cross Site Scripting’

2009/02/12 a 18:22 · Archivado en OWASP, seguridad, web ·Etiquetado , , , ,

Del proyecto OWASP acabo de descubrir la XSS (Cross Site Scripting) Prevention Cheat Sheet, y a partir de ella el proyecto ESAPI, Enterprise Security API, que son un conjunto de clases y métodos que encapsulan las principales operaciones relacionadas con la seguridad (autentificación, identificación, validación, codificación, …).

Dejar un comentario