Típicos conceptos errados en seguridad web
Mi memoria de título es sobre un sistema Web.
Durante la investigación me he encontrado con muchas quejas de seguridad sobre bibliotecas populares que realmente no son problemas de seguridad.
Aquí veremos algunos de estos conceptos de lo que implica la seguridad de una aplicación web que (en mi opinión) están equivocados.
Passwords o datos sensibles en plaintext en la sesión: Las variables de sesión (PHP) se guardan en el servidor, no en el cliente. Por lo tanto no hay forma de que el cliente obtenga estos sensibles datos A MENOS que el mismo desarrollador obtenga estos datos del servidor y se los entregue al cliente. El problema de seguridad no está en la existencia de las variables, sino en la acción del desarrollador que usa un print_r o var_dump en una variable sensible.
- Conexión global a la base de datos: Las abstracciones de bases de datos no existen para aislar el servidor, sirven para FACILITAR el acceso. Cualquier código que conecte a una base de datos tendrá en su código o en memoria los datos requeridos para la conexión. Si realmente un atacante buscara obtener estos datos y ya tuviera código ejecutando dentro del sistema, obtenerlos es trivial. En el peor caso podría monitorear el intercambio de información entre aplicación y base de datos o podría crear un dump de la memoria. En un lenguaje de scripting basta con imprimir el código fuente de los archivos. El problema real es EL CODIGO ARBITRARIO EN EL SISTEMA.
- Otorgar acceso a todo el código fuente dentro de un grupo de desarrolladores: Una vez que un desarrollador puede escribir código arbitrario en cualquier módulo la seguridad ya está comprometida. Más útil es escoger con cuidado a los desarrolladores, establecer reglas de uso y aplicarlas mediante control de versiones, a menos que el código "prohibido" esté prohibido para evitar el robo de el mismo.
Sin comentarios