LA WEB EN UNA ARQUITECTURA CLSICA CLIENTE SERVIDOR

NAVEGADORES SERVIDORES LENGUAJE DE PROGRAMACIN

EVOLUCIN DEL WEB

Web 1.0 Aplicaciones de Internet - Todo el mundo puede acceder
Web 2.0 Contenido generado por el usuario - Todo el mundo puede publicar
Web 3.0 Plataformas - Todo el mundo puede innovar
APOYO A LA TOMA DE DECISIONES
-

Acceso en tiempo real

Acelerar el aprendizaje e impulsa creatividad
Trabajo colaborativo

VENTAJAS Y DESVENTAJAS
-

Compartir toda la informacin

Aplicaciones como servicio
Ubicuidad y cooperacin
DES: Seguridad de datos
DES: Conexin a internet

INGENIERA WEB
SOFTWARE

QUE DIFERENCIAS Y SIMILITUDES TIENE COMO LA INGENIERA DE

La ingeniera web es la aplicacin de metodologas sistemticas, disciplinadas y cuantificables al

desarrollo eficiente, operacin y evolucin de aplicaciones de alta calidad en la World Wide Web.
-

Ambos involucran programacin y desarrollo de software

El desarrollo de WebApp es distinto al desarrollo de software de otras categoras.
Todas las actividades CGC (Control y Garanta de la Calidad)
implica una mezcla de publicacin impresa y desarrollo de software, marketing e informtica, de
comunicaciones internas y relaciones externas, de arte y tecnologa
el desarrollo del un WebAppes un esfuerzo multidisciplinario debido al manejo de mltiples
formatos, con una mezcla de atencin social para saber su efecto tico y legal
en la Web toman especial relevancia para valorar la calidad aspectos como: Usabilidad,
Funcionabilidad, Fiabilidad, Seguridad, Eficiencia y Mantenibilidad

ETAPAS DEL MODELO DEL PROCESOS WEB SEGN PRESSMAN (IWEB)

Formulacin: identificacin de metas y objetivos

Planificacin: estimacin de costos, evaluacin de riesgos y planificacin temporal del proyecto
Anlisis: establecimiento de requisitos
Ingeniera: dos grupos de tareas paralelas,
o Tcnicas (diseo arquitectnico, de navegacin y de interfaz)
o No tcnicas (diseo del contenido y produccin)
Generacin de pginas y pruebas
o El contenido se fusiona con los diseos arquitectnicos, de navegacin y de interfaz para
elaborar pginas web ejecutables en HTML, JSP...
o Integracin con el software intermedio (middleware) de componentes
Evaluacin con el cliente: revisin de cada incremento y solicitud de cambios
Diseo arquitectnico: se centra en la definicin de la estructura global y en la aplicacin de las
configuraciones de diseo y plantillas constructivas para popularizar la estructura que se
representara como parte de la webapp
D. navegacin el diseador deber definir las rutas de navegacin que permitan al usuario
acceder al contenido y a los servicios de la webapp
D. Interfaz Los conceptos, principios y mtodos de diseo de interfaz son aplicables al diseo de
interface de usuario sin embargo las caractersticas especiales de los sistemas y aplicaciones web
requieren otras consideraciones adicionales.

Desarrollo de software que normas tcnicas peruanas se tiene como marco de referencia y cules
son los procesos que comprende la norma ISO
La NTP-ISO/IEC 12207

CMS Y CUALES SO LOS NIVELES DE ACCESO DEPENDIENDO DEL USUARIO

Son las siglas de Content Management System, o lo que viene a ser un sistema de gestin de contenidos.
Un CMS es un programa desarrollado para que cualquier usuario pueda administrar y gestionar
contenidos de una web con facilidad y sin conocimientos de programacin Web
administrador del portal hasta el usuario sin permiso de edicin, o creador de contenido.
Dependiendo de la aplicacin podr haber varios permisos intermedios que permitan la edicin del
contenido, la supervisin y reedicin del contenido de otros usuarios, etctera.
OWASP
OWASP es un proyecto de cdigo abierto dedicado a determinar y combatir las causas que hacen que
el software sea inseguro. La Fundacin OWASP es un organismo sin nimo de lucro que apoya y
gestiona los proyectos e infraestructura de OWASP.
OWASP Top 10 es un documento de los diez riesgos de seguridad ms importantes en aplicaciones web
segn la organizacin OWASP
-

Inyeccin
Prdida de Autenticacin y Gestin de Sesiones
Secuencia de Comandos en Sitios Cruzados (XSS)
Referencia Directa Insegura a Objetos
Configuracin de Seguridad Incorrecta
Exposicin de Datos Sensibles
Ausencia de Control de Acceso a las Funciones
Falsificacin de Peticiones en Sitios Cruzados (CSRF)
Uso de Componentes con Vulnerabilidades Conocidas (Nuevo)
Redirecciones y reenvos no validados

MEDIDAS DE SEGURIDAD POR PARTE DEL CLIENTE

-

Cdigo mvil: Aparece incrustado en un documento HTML. Un cdigo mvil puede obtener
informacin acerca de un sistema o un usuario y enviarla a una mquina remota
Lenguajes de Macro: VBA: Permite el acceso a todas las funciones de la aplicacin, incluyendo
el acceso a disco La macro est incrustada en el documento
JavaScript: Si se recibe un correo con un cdigo malicioso, al visualizarlo podra hacer cosas
como leer los mensajes del usuario, enviar mensajes en su nombre,
VBScript safe o unsafe for scripting de forma que se impida a los scripts acceder a ellos
Applets Java crear hilos que se ejecutan en segundo plano. Estos hilos pueden seguir en
ejecucin aunque se cierre el navegador

Controles ActiveX Son la respuesta de Microsoft a las applets de Java Slo funcionan
bsicamente con Internet Explorer y Outlook
Un mtodo de proteccin comn es tener siempre actualizado el software

EN EL SERVIDOR
-

Servidor Web: Vulnerabilidades debidas al uso de versiones no actualizadas Configuraciones

por defecto inadecuadas Activacin de cuentas por defecto
Servidor de Bases de Datos Descubrimiento de informacin acerca de los datos de conexin al
servidor, Modificacin de las instrucciones SQL enviadas al servidor, Acceso no autorizado a
informacin restringida
Lenguajes de servidor: Hay que proteger el cdigo fuente para evitar que pueda ser
visualizado, especialmente cuando contiene informacin sensible
Las herramientas deben estar actualizadas y bien configuradas para impedir ataques a la
aplicacin
No ejecutar el servidor como root
No dar a ningn usuario salvo al root permiso de acceso a la tabla de usuarios
Asegurarse de que el root tiene un password
Restringir el acceso remoto al servidor
No dar a un usuario ms permisos que los estrictamente necesarios
Almacenar los datos sensibles de forma encriptada

EN LA APLICACIN:
-

Control de acceso: Autentificacin y Autorizacion, sesiones

Validacin de datos de entrada: como la Inyeccin SQL, el Cross-Site Scripting y el Buffer
Overflow
Programacin segura: Inicializacin de variables Gestin de errores Proteccin de
informacin

EN LA COMUNICACIN
-

SSL (Secure Socket Layer) es un protocolo para asegurar el transporte de datos entre el cliente
y el servidor web.
El protocolo Record proporciona servicios de seguridad bsica a varios protocolos de nivel ms
alto, entre ellos HTTP
El protocolo Record proporciona servicios de seguridad bsica a varios protocolos de nivel ms
alto, entre ellos HTTP