Un tema muy interesante, y complejo, el de la seguridad.
Recomiendo la lectura del artículo How I became a password cracker.
Conclusión:
Como si fuera el “Anillo Único” de “El señor de los anillos”, Google está desarrollando un anillo para “gobernarlos” a todos: Google Wants to Replace All Your Passwords with a Ring.
Por ahora no hay ninguna imagen del anillo (¿lo venderán chapado en oro?) pero parece que ya existe algo que hace lo mismo, pero que no es tan “fashion”: YubiKey NEO.
SQL Injection es una infografía que define esta vulnerabilidad y ofrece algunos ejemplos realizados en PHP.
La guía ¿Qué son las vulnerabilidades del software? es un pequeño documento de 11 páginas publicado por INTECO que explica con un lenguaje claro y con ejemplos qué son las vulnerabilidades del software.
La descripción del artículo dice:
Una vulnerabilidad del software es un fallo de seguridad en una aplicación a través de la cual, un atacante puede llegar a comprometer la seguridad de todo el sistema sobre el que se ejecuta esa aplicación.
En el siguiente artículo el Observatorio INTECO explica qué son las vulnerabilidades del software, por qué ocurren, de qué factores dependen y cómo gestionarlas.Desde el punto de vista del usuario, cuando se descubre una vulnerabilidad del software, lo más importante es saber cómo protegerse. En este sentido, son fundamentales las actualizaciones y parches de seguridad publicadas generalmente por los creadores de los programas informáticos. Finalmente, el documento aborda la gestión de vulnerabilidades por parte de INTECO y su servicio gratuito, a disposición de los usuarios, de un repositorio con información sobre cada una de las vulnerabilidades informáticas públicamente conocidas.
Muy interesante la explicación del grave error que hay en la web del Banco Santander en el Reino Unido: Is it OK to hold credit card numbers in cookies? Santander?
Esta página deja por los suelos al Banco Santander:
Santander es una broma cuando se trata de seguridad. Hartos de dos años de batallar con ellos para solucionar problemas que cualquier otro banco habría solucionado en cuestión de segundos, cosas como XSS en la página de inicio de sesión, etc. Ya ha llegado la hora de divulgar a los cuatro vientos algunos de estos temas con la esperanza de que cambien su juego y empiecen a tomar en serio la seguridad de sus clientes.
Demoledor, y la verdad es que es así, porque si es cierto lo que se cuenta en esta página web, el Banco Santander almacena información sensible en cookies, con el peligro que eso supone.
Ayer los medios de comunicación se hicieron eco de un grave problema de seguridad que presenta el navegador Microsoft Internet Explorer:
La noticia dice:
Microsoft ha advertido de un fallo descubierto en su navegador Explorer que hace que los ordenadores sean vulnerables a los ataques de hackers y aconseja descargar un software de seguridad para reducir el riesgo de infección, que se llama EMET.
El fallo afecta a cientos de millones de usuarios del navegador Explorer en sus versiones 7, 8 y 9, las más utilizadas por sus partidarios. Microsoft ha asegurado que los atacantes pueden explotar el fallo para infectar el PC de alguien que visita un sitio web malicioso y después tomar el control del ordenador de la víctima. El virus se extendería entre losordenadores con los sistemas operativos XP, Vista y Windows 7.
Microsoft ha publicado El Kit de herramientas de Experiencia de mitigación mejorada como solución temporal para este problema.
Cuando lo he visto pensaba que era una broma, pero no, es cierto, en Windows te puede aparecer este aviso: Mensaje de error: La contraseña debe tener al menos 18770 caracteres y no puede repetir ninguna de las 30689 contraseñas anteriores.
Si tienes que escribir contraseñas de al menos 18.770 caracteres, y además tienes que recordar las 30.689 contraseñas anteriores que puedes haber utilizado, la cosa está difícil, muy difícil.
El artículo Lessons in website security anti-patterns by Tesco emplea el sitio web de Tesco, como ejemplo que lo que no se debe hacer en una aplicación web. Paso a paso, muestra y explica multitud de errores de seguridad que presenta este sitio web de esta gran empresa.
Al final ofrece los siguientes consejos:
En el artículo Ad Men and Browser Geeks Collide Over Web Protocols nos cuentan que los anunciantes online se están cabreando un poco ante la nueva opción que incorporarán las próximas versiones de los navegadores: Do Not Track (DNT). Esta es una opción que permitirá a los usuarios informar a los sitios web que no quieren que su actividad sea rastreada.
Para que está opción funcione, los sitios web deben de soportarla. Por ejemplo, en la página web Twitter Supports “Do Not Track” nos explican que Twitter soporta esta opción y además nos explican como activarla en diferentes navegadores.
En la página Do Not Track Test Page se muestra una comparativa de soporte de esta característica en los navegadores más populares. Curiosamente parece que por ahora Google Chrome no lo soporta. Seguramente será porque buena parte del negocio de Google se sustenta en su modelo de anuncios online AdWords.
¿Será esto el inicio de una nueva revolución? Cuando Mozilla Firefox incorporó la opción de bloquear las ventanas emergentes por defecto (pop-ups), fue una auténtica revolución, los anunciantes atacaron ferozmente a Mozilla, pero al final el resto de navegadores acabaron copiándolo y hoy en día las ventanas emergentes prácticamente han desaparecido.
Por último, en la página Do Not Track podemos encontrar el borrador de la especificación, formas de configurar los servidores, extensiones para navegadores, etc.
WebVulScan es una herramienta que permite verificar la seguridad de aplicaciones web. Según parece, hace todo esto, lo cual es una pasada:
Vulnerabilities tested:
Features: