Me he dado cuenta que para los que nos dedicamos al desarrollo de sitios web, muchas veces pasa desapercibida la cuestion de la seguridad. En mi caso, desatiendo este aspecto debido a que mis aplicaciones siempre terminan en una Intranet, lo cual me da la confianza de que los usuarios 'comunes' no tienen intenciones de implementar un ataque.
Sin embargo, si alguien externo logra ingresar a la red o un script kiddie de la empresa intenta atacar, sin duda que causaran daños importantes y en el peor de los casos ocasionar perdidas de informacion irrecuperables.
En este contexto se me ocurrio investigar algo al respecto y me encontre un documento publicado por la OWASP (Proyecto Abierto de Seguridad en Aplicaciones Web, The Open Web Application Security Project) llamado "Las Diez vulnerabilidades de seguridad mas criticas en aplicaciones Web".
Como su nombre lo indica, detalla las vulnerabilidades mas frecuentes a las que estan expuestas las aplicaciones Web:
1. Entrada no validada
2. Control de Acceso Interrumpido.
3. Administración de Autenticación y Sesión Interrumpida.
4. Fallas de Cross-Site Scripting (XSS).
5. Desbordamiento del Búfer.
6. Fallas de Inyección.
7. Manejo Inadecuado de Errores.
8. Almacenamiento Inseguro.
9. Negación de Servicio.
10. Administración de Configuración Insegura.
Pero no solo eso, explica en que consiste cada una de estas, los ambientes afectados, ejemplos y documentacion, como saber si esta uno expuesto y la manera de autoprotegerse.
Es sin duda un documento indispensable para los desarrolladores Web.
Hace unos dias comente acerca de la impresion (construccion de PDF's) con PHP, esta vez creo conveniente mencionar otra herramienta; se tratra de una serie de clases que permiten generar graficas a partir de tablas de datos, del tipo de las que generamos con cualquier hoja de calculo.
Recordando nuevamente mi largo andar por este camino del desarrollo de software recuerdo cuando necesitaba representar tablas de datos de manera grafica, una alternativa era GnuPlot herramienta muy potente que brinda realmente muchas posibilidades de graficacion. Pero habia ocasiones en que se volvia demasiado complicado o laborioso invocar la herramienta desde PHP solamente para generar una pequeña barra de porcentaje.
Nuevamente vagando por la red encontre JpGraph que facilita por completo esta laboriosa tarea, en esta pagina se muestran ejemplos de graficas generadas con esta herramienta, algo muy relevante es que ninguna de estas se genero con mas de 20 lineas de codigo y obviamente es posible graficar informacion de base de datos, desde mi punto de vista practicamente no tiene limitaciones para crear cualquier tipo de grafica. Por cierto, un saludo a mis buenos amigos de Torreon.
Despues de haber disfrutado mucho este puente (suspension de labores por sucesion de dias inhabiles) me encuentro en linea nuevamente, espero hacer algunos comentarios acerca de UML, ya que por fin estoy llevando algo de capacitacion al respecto.
Hace unos años elabore una pagina (muy buena por cierto) para un proyecto escolar (Ingenieria Economica) y le agregue un contador de visitas, me agrado mucho, porque era pequeño, discreto, personalizado y gratuito.
Hoy intente agregar uno del mismo sitio a este Blog y veo con desagrado que ya no es un servicio gratuito, la empresa fue absorbida por el malnacido de Guillermo Puertas (Bill Gates) y forma parte de las soluciones para PyMes de Micro$oft.
Ni hablar, hasta coraje me dio, acepto que este señor y su empresa han hecho muchas cosas para que la informatica sea como la conocemos hoy en dia pero por supuesto que tambien ha puesto muchas trabas para que fuera aun mejor.
Desde mis inicios de programacion en Web, cuando utilizaba ASP y SQL Server siempre fue un dolor de cabeza la impresion desde el Navegador, ya no digamos facturas, formatos oficiales y demas documentos que requerian de un formato muy especifico. Por supuesto que habia alternativas: darte de topes contra la pared, ir a dibujarle con regla y pluma el formato a cada usuario, comprar una licencia de Crystal Reports, etc, etc.
La realidad es que muchas empresas no cuentan con los recursos para adquirir licencias muy costosas o simplemente nos les interesa invertir en estos rubros. Afortunadamente un dia llegue al mundo de PHP y LAMP ( un saludo a Temo y Cederik donde quiera que esten ) y descubri las librerias para generar archivos PDF con PHP.
Clases como R&OS y FPDF hacen la tarea de impresion en Web desde PHP mas facil, rapida y divertida..... jejeje bueno segun el punto de vista de cada quien. Pero esta siempre fue, segun yo, una limitante para el desarrollo de sistemas de informacion mas complejos utilizando PHP. Los resultados son tan buenos que en estos momentos me encuentro felizmente desarrollando una aplicacion que permite la impresion de cheques con todo y poliza en formas continuas emitidas por el banco, quien lo hubiera pensado: todo desde Web.
Me da gusto encontrarme este tipo de noticias, porque hay mucha gente que le esta apostando todas las canicas a este sistema y lo que él implica, como el software libre, la famosa GNU y la fraternidad con que se intercambia informacion.
Comunidades y proyectos como Hispalinux, Wikipedia, LinuxParaTodos, Ulfix y un sin fin de sitios y portales mas que contribuyen a la causa del Software Libre, colaboracion en linea y documentacion sin fines de lucro merecen un reconocimiento por este tipo de 'altruismo' linuxero.
Segun Gartner Linux destaca entre las 10 principales tecnologías con mayor presencia en el mercado durante el próximo año y las que tienen una proyección a más largo plazo
Esto pese a la creencia inicial de un crecimiento pobre por falta de soporte y respaldo de una empresa, ha empezado a despegar gracias a que ya hay fabricantes que desarrollan aplicaciones basadas en este sistema operativo, con lo cual se está colocando a la cabeza en crecimiento.
Invito a los lectores a aportar su grano de arena ( o byte de informacion ) para seguir contribuyendo a que este dato siga siendo prometedor.
Mas informacion
Esta semana me entere de la existencia de una herramienta llamada Achilles basicamente es para visualizar los encabezados y POSTS que intercambias con el sitio que estas visitando. Pero para que sirve eso? bueno segun las habilidades de cada quien, esto puede ser muy util ya que no solo te permite visualizar la informacion si no tambien modificarla y evitar cualquier validacion del lado del cliente y con algo de paciencia estar probando algunas tecnicas de Inyeccion de SQL.
Hay que descargar la aplicacion Achilles descomprimirla y ejecutarla, la configuras para que trabaje en cierto puerto, despues entras al navegador de tu preferencia y en la parte donde asignas proxy especificas localhost y el puerto antes mencionado.
Comienzas con la ejecucion (boton Play) de Achilles y entras al sitio de tu preferencia, empezaras a ver en la informacion que antes mencione y podras modificarla antes de que se vaya al sitio.
Tal vez esto suene medio Hacker, pero para los desarrolladores de aplicaciones Web se vuelve importante conocer los ataques y vulnerabilidades mas comunes para estar prevenido y proteger las aplicaciones a tiempo.
begin
print "Mas que nada espero que me sirva como ";
print "bitacora de actividades (asi como un diario)";
print "y repositorio de articulos, codigos, scripts, ";
print "tips, etc para la banda interesada en el tema";
// Es la primera vez que publico en www algo propio,
// espero que por lo menos a mi
// me deje un buen sabor de boca.
end
