Algunas medidas proactivas para la seguridad en aplicaciones web

En Top 10 Proactive Web Application Security Measures.

– Content-Security-Policy
– X-Frame-Options
– anti-CSRF cryptographic nonces
– DAL (data/database access layer)
– Unwritable file system
– Forensically secure logging
– Secure credential/passwd/secret questions and answers storage
– SSL, cookies with secure flags, cookies with httponly and STS
– Security frameworks
– autocomplete=”off” and strong passwords

Anuncios

Seguridad en aplicaciones de colaboración según Google

En [PDF] Security Whitepaper. Google Apps Messaging and Collaboration Products. Introduction un documento de Google con directrices generales, con su declaración inicial:

The security of online services is a topic of increasing interest to enterprises as the number of third party hosted service offerings has expanded in recent years. The emergence of various “cloud computing” concepts and definitions has highlighted not only questions about data ownership and protection, but also how various vendors of cloud computing technologies build and implement their services. Security experts, end-users and enterprises alike are all considering the security implications of the cloud computing model.

Y los consejos ya vistos tantas veces, pero que no se si están calando:

… the Google Security Team maintains an engineering outreach and education program that currently includes:
– Security training for new engineers.
– The creation and maintenance of extensive documentation on secure design and coding practices.

Entrenamiento sobre diseño seguro para los nuevos ingenieros.

Sensores en aplicaciones: detección de problemas y respuestas

El tema de los sensores en un mundo de datos me resulta muy interesante. Por ese motivo me interesó mucho el proyecto OWASP AppSensor Project – Detect and Respond to Attacks from Within the Application que tiene que ver con la vigilancia y aditoría. Estamos acostumbrados a que estas cosas se hacen después del desastre o, como mucho, cuando las cosas ya han pasado. Una aproximación básica sería la utilización de registros (‘logs’) para anotar cosas relevantes pero lo que parece que propone este proyecto es algún tipo de guías y referencias para incluir controles en las aplicaciones relativos a la seguridad:

The AppSensor project defines a conceptual framework and methodology that offers prescriptive guidance to implement intrusion detection and automated response into an existing application. Current efforts are underway to create the AppSensor tool which can be utilized by any existing application interested in adding detection and response capabilities.

Para leer sobre el proyecto se puede ver la AppSensor Developer Guide y [PDF] OWASP AppSensor, que es una descripción de más alto nivel.
También hay, claro, código para utilizar en nuestros propios proyectos.

Habrá que seguirles la pista.

Buenas prácticas sobre claves y bloqueo de cuentas

Por alguna casualidad, escuché el otro día el [mp3] OWASP 76 podcast, con Bill Cheswick sobre claves, bloqueo de cuentas y esas cosas. Estaba pensando que me había parecido bastante interesante y que debería poner un resumen por aquí cuando encontré Password and Account Lockout Better Practices que me ahorra el trabajo:

  • Bloquear la cuenta después de 3, 4 o 5 intentos
  • Utilizar un tiempo de bloqueo corto
  • Asegurarse de que errores repetidos (el mismo intento más de una vez)
    no cuentan para el bloqueo
  • Utilizar personas de confianza (previamente establecidas, por ejemplo
    la pareja de alguien) para los procesos de reestablecimiento de la clave
    (se ahorran procedimientos más complicados y costosos)
  • Hacer que los identificadores de usuario sean difíciles de conocer o
    adivinar
  • Utilizar un servicio de autentificación estándar, para no reinventar la
    rueda en cada nueva aplicación

Otro día más sobre claves.

Análisis de ‘scanners’ de vulnerabilidades web

No soy un experto en el tema pero en Web Vulnerability Scanners Comparison se enlaza a un estudio donde se evalúan unas cuantos de estos productos de análisis de la seguridad de aplicaciones web con una aplicación vulnerable hecha a propósito. No salen demasiado bien paradas y, en todo caso, no es suficiente confiar en una herramienta de estas y pensar que estamos a salvo.