Un curso de Seguridad en la Web
Esta tarde he estado impartiendo un curso de 4 horas sobre seguridad en el desarrollo web, dentro del II Mater Profesional en Tecnologías de Seguridad organizado por el INTECO y la Universidad de León.
Dejando claro que no soy ningún experto en Seguridad Informática, hemos hablado de la Seguridad desde el punto de vista de alguien que se dedica a construir sitios webs, que es lo que hago de una forma u otra. Creo que la Seguridad es un tema que nos tiene que preocupar a todos los que nos dedicamos a eso y en el que hay que estar más o menos al día.
En este contexto, además de hablar un poco sobre los factores y amenazas de la seguridad en el desarrollo web, he presentado Drupal como un ejemplo de Framework (aunque haya otros) especialmente recomendable para la gente que empieza a hacer desarrollo web.
Hemos visto como los principales factores que distinguen una herramienta más segura no son la ausencia de actualizaciones o avisos de seguridad sino el hecho de que la seguridad se gestione de una forma activa y exista un buen API que tenga en cuenta estos problemas a todos los niveles y además esté bien documentado.
Y también creo que ha quedado bastante clara de que el principal factor que influye en la Seguridad no es la tecnología, ni el lenguage de programación, sino el factor humano; el hecho de tener en mente la seguridad desde el principio del desarrollo, gestionar las vulnerabilidades que puedan aparecer y, en definitiva, que todo el equipo esté al día respecto a este tema.
En palabras de Bruce Schneier que me gustan especialmente (y aparecen en una de las slides): Si crees que la tecnología puede resolver tus problemas de seguridad, entonces no entiendes los problemas y no entiendes la tecnología.
Adjunto la presentación y el programa de ejemplo que hemos utilizado para la parte práctica que ha consistido en identificar y corregir algunos ejemplos de problemas de seguridad muy comunes en las webs actuales: XSS, CSRF, Session Hijacking... Aviso: El programa de ejemplo es realmente inseguro.
Adjunto | Tamaño |
---|---|
Unileon-Seguridad-Reyero-01.pdf | 1.63 MB |
csi.tar.gz | 3.9 KB |