Escolar Documentos
Profissional Documentos
Cultura Documentos
Actividades
Descripcin de la actividad
Pautas de elaboracin
Esta actividad sobre seguridad en aplicaciones Ajax abarca los problemas de seguridad
que tienen este tipo de aplicaciones, que caen en la categora denominada rich internet
applications y en las posibles soluciones a los mismos. Hay que consultar cuantas
fuentes relativas al tema se considere y sintetizar la informacin relevante sin limitarse
a copiar el contenido de alguna de ellas.
Criterios de valoracin
Como cualquier otra tcnica o tecnologa que se emplee en un entorno Web, el uso de
AJAX est sujeto a inconvenientes. Con el tiempo uno puede aprender que estos
inconvenientes se suplen cuando el mercado apoya una tecnologa y sta se estandariza
lo suficiente como para que los distintos navegadores no den problemas con ella, ya
sean estos de compatibilidad o de seguridad.
AJAX permite realizar ahora cosas que antes no se podan o necesitaban algn plugins
externo, adems de aumentar la interactividad al poder mantener la conexin con el
servidor de forma sencilla. Por este motivo la industria se ha volcado mucho
ltimamente en desarrollar software con AJAX.
En este trabajo se mencionar los principales problemas de los entornos Web que
utilicen AJAX as como los problemas de desarrollo que supone junto con las
alternativas de soluciones para dichos problemas.
1. PROBLEMAS DE DESARROLLO
1.1. Internet Oscura
Como las pginas generadas por AJAX generan informacin dinmicamente los
robots de Google no encuentran muchas veces nada en la pgina, obteniendo un
ranking deficiente, para evitarlo, deben crearse pginas especiales de recorrido
completo.
2. PROBLEMAS DE SEGURIDAD
Cuando se quiere analizar la seguridad de un programa en red se deben tener dos
partes claramente diferenciadas: servidor y cliente/s. El anlisis de seguridad se debe
hacer pensando que el atacante conoce perfectamente todo el funcionamiento del
sistema ya que no se puede confiar en que ayude mantenerlo en secreto; sus mismos
desarrolladores pueden atacarlo.
El cdigo Javascript puede ser bajado y evaluado (eval) en el cliente, si fuera cdigo
con malas intenciones el cliente podra hacer poco ante ello.
Solucin 1: Utilizar algn tipo de rea de pruebas para el cdigo antes de lanzarlo
directamente que lo analice, existen ya algunos filtros que evitan la ejecucin de
ciertas funciones o envo de ciertas etiquetas.
Solucin 2: El cdigo Javascript podra estar Firmado digitalmente, sera una
buena solucin futura, pero hoy es solo una idea.
En la figura 1 el cliente tiene acceso directo a todas las partes de la aplicacin, lo que
resulta abominable ya que la validacin no sirve de nada si no se hace antes de
cualquier servicio que lo necesite lo que requiere mucha repeticin de cdigo,
adems al equipo de desarrollo se le puede escapar alguna validacin y como los
servicios se pueden acceder individualmente (en este caso) puede haber algn
agujero de seguridad en alguno. Lo ideal para proporcionar seguridad sera el caso
de la figura 2. Como se puede observar en la figura, el hecho de que el lado servidor
de la aplicacin est diseado de forma segura es la verdadera clave de la seguridad
en las aplicaciones Web ya que todo el cdigo de la parte cliente es visible a ataques
y modificaciones en la memoria del cliente para atacar a la parte servidor.
para su cometido, que es realizar las compras a golpe de clic, en caso de dudas
que se hagan por correo-e.
Verificacin completa de datos: Cuando el usuario decida pagar por su
carrito de la compra, se deber comparar toda la informacin enviada de
nombre del artculo, su identificador nico y su precio de manera que se sepa
que la peticin es correcta ya que el usuario podra cambiar los precios de los
artculos usando alguna herramienta de depuracin, como Firebug.
Base de datos no accesible exteriormente: Solamente debe de poder
trabajar con ella la parte del servidor Web y debe tener un usuario que solo debe
poder acceder a su base de datos para evitar que se cambien los precios aqu, si
es que se tiene una tienda. Adems, en una aplicacin Web el usuario no
necesita acceder directamente al servidor por SQL a no ser que sea
precisamente para esto como el ISQLPlus de Oracle, en cuyo caso est diseado
expresamente para esto.
Minimizar la superficie de impacto: El cliente solo debe poder acceder a
una pgina que luego delegar dependiendo la peticin realizada por el usuario
el trabajo en otras contenidas en el servidor no accesibles desde fuera.
Webgrafia:
http://www.infosecwriters.com/text_resources/pdf/SShah_Web20.pdf
http://librosweb.es/libro/ajax/capitulo_7/seguridad.html
http://www.flu-project.com/2014/04/seguridad-en-ajax-parte-i.html
http://sedici.unlp.edu.ar/bitstream/handle/10915/20590/Documento_com
pleto.pdf?sequence=1