En HTTPS Data Exposure – GET vs POST un resumen rápido de la exposición de los datos que se transmiten mediante el protocolo cifrado https considerando GET, POST, si la conexión va cifrada o no y los diversos participantes en la transmisión y recepción.
Entradas etiquetadas web
Nombres de ficheros y tráfico de datos
Curioso artículo en Thinking outside the box – Filenames and Web Optimization: esencialmente dice que las url’s también forman parte del tráfico web y que las que se utilizan ahora proporcionan mucha información pero también consumen recursos de manera innecesaria.
Es interesante y también es indudable que esos ahorros se pueden producir pero a mi en las cuentas me falta lo que eso representa frente al tráfico ‘relevante’ (el contenido de la página, vaya). Entiendo que siempre que sea posible y razonable deberíamos ahorrar pero complicarse mucho la vida para ahorrarse un 0.1% del tráfico seguramente no vaya a ninguna parte y convenga más concentrarse en otros ahorros. La regla (para mi, claro) sería: ahorrar primero donde más se pueda ganar, creo.
Bitácoras interesantes de programación (I)
Me pilla con el paso cambiado (por eso pongo el I, porque espero poner las mías próximamente) la entrada de leonidas en BarraPunto, ¿Qué bitácoras de programación lees?.
En los comentarios hay un buen montón de recomendaciones que vale la pena explorar (al menos conozco algunas de esas que yo también recomendaría).
La criptografía en las administraciones
El viejo dicho viene a ser: tu seguridad es tan buena como lo más inseguro que tengas (el eslabón más débil será el que haga que se rompa la cadena). En ¿Es segura la criptografía en la administración Española? hacen un análisis de los protocolos (relacionados con SSL).
Lo que no todo el mundo sabe es que SSL como tal, no es un protocolo único, mas bien es una enorme familia de protocolos, empezando por que existen 4 versiones (SSL v1, SSL v2, SSL v3 y TLS) además en cada versión se pueden negociar diferentes algoritmos con sus correspondientes longitudes.
Podriamos decir que el mundo SSL es como el mundo de las hipotecas, existen algoritmos AAA fiables y algoritmos subprime inseguros y poco aconsejables.
Yago Jesús ha probado unos cuantos sitios para ver cuántos de ellos permiten versiones del protocolo con criptografía débil y lo que ha encontrado es que en el mejor de los casos permiten sólo 2 algoritmos inseguros pero en algún caso permiten hasta 15. Es posible descargar un documento con los resultados detallados (OO.org).
Análisis de ’scanners’ de vulnerabilidades web
No soy un experto en el tema pero en Web Vulnerability Scanners Comparison se enlaza a un estudio donde se evalúan unas cuantos de estos productos de análisis de la seguridad de aplicaciones web con una aplicación vulnerable hecha a propósito. No salen demasiado bien paradas y, en todo caso, no es suficiente confiar en una herramienta de estas y pensar que estamos a salvo.
‘Chuleta’ para la prevención de ‘Cross Site Scripting’
Del proyecto OWASP acabo de descubrir la XSS (Cross Site Scripting) Prevention Cheat Sheet, y a partir de ella el proyecto ESAPI, Enterprise Security API, que son un conjunto de clases y métodos que encapsulan las principales operaciones relacionadas con la seguridad (autentificación, identificación, validación, codificación, …).
