Pasos básicos de seguridad para tus aplicaciones en la web

Cuando hablamos de la creación de una aplicación web con buenos estándares de seguridad hay mucho que decir. Necesitamos hacer un estudio sobre los puntos vulnerables y estar familiarizados con las opciones que nos ofrece Windows, .NET Framework y ASP.NET. Todo, mientras establecemos una estrategia de seguridad para contrarrestar las amenazas.

Es posible que no tengas mucha experiencia en el tema, pero existen pautas de seguridad mínimas que se recomienda seguir. Aquí te ponemos algunas de ellas.

Recomendaciones de seguridad para apps web básicas

Todos sabemos que incluso contando con estrategias de seguridad, esta se puede ver vulnerada usando medios sencillos. Según Microsoft existen algunas instrucciones esenciales para protegerte en este sentido:

• Realice copias de seguridad frecuentemente y guárdelas.

• Mantén el servidor en un lugar físico de confianza. De esta forma nadie que no este autorizado podrá ingresar

• Utilice el sistema de archivos NTFS de Windows, no el FAT32. NTFS ofrece mucha más seguridad que el FAT32.

• Proteja los servicios IIS.

• Cierre los puertos que no se utilicen y desactive los servicios no usados.

• Ejecute un programa antivirus que supervise el tráfico entrante y saliente.

• Establezca y haga respetar una política que prohíba a los usuarios tener sus contraseñas escritas en una ubicación fácil de localizar.

• Use un firewall.

Ejecuta con privilegios mínimos tus apps

Cuando se ejecuta una aplicación tiene privilegios específicos en el equipo local y quizá también en equipos remotos. Por este motivo requieres configurar la identidad de aplicaciones. Por eso es importante ejecutar la aplicación con un usuario con los mínimos privilegios factibles. Establece permisos en todos los recursos requeridos por la aplicación. De ser posible, define que los archivos sean de sólo lectura. Mantén los archivos de la app en una carpeta ubicada debajo de la raíz de la aplicación. Si no das a los usuarios la opción de especificar una ruta que permita tener acceso a ningún archivo de la aplicación conseguirás evitar que obtengan acceso a la raíz del servidor

Conoce a tus visitantes

En muchas aplicaciones algunos usuarios tienen acceso al sitio sin necesidad de registrarse. Cuando esto ocurre la app tiene acceso a recursos al ejecutarse en el contexto de un usuario predefinido. Para restringir el acceso únicamente ciertos usuarios es necesario, configurar la seguridad integrada para que las credenciales de inicio de sesión de los usuarios se puedan usar para obtener acceso a los recursos. Por otra parte también si requiere esas credenciales puedes utilizar estrategias de autenticación de ASP.NET.

Protegerse contra entradas malintencionadas

No des por sentado que la información que proviene de los usuarios es confiable y segura. Si existe algún usuario malintencionado es posible que envíe información desde el cliente a la aplicación. No repitas entradas de los usuarios sin filtrarlas antes, ni almacenes información proporcionada por ellos sin antes pasarla por una base de datos. Si es posible, no almacenes información confidencial en lugares de fácil acceso desde el navegador.

Consigue que las bases de datos tengan acceso seguro

La mayoría de las bases de datos cuentan con sus propios sistemas de seguridad. Un punto a destacar es diseñar una forma de que las apps tengan acceso seguro a ellas. Limita quién puede tener acceso a los recursos esa base. Puedes crear un único usuario con permisos muy limitados, y hacer las consultas que se ejecuten conectándote con ese usuario.

Protege a toda costa la información confidencial

Mantener de forma privada alguna información es importante. Por ese motivo sabemos que si alguien con malas intenciones consigue información como contraseñas o claves cifradas ¡quedarás expuesto! Utiliza configuración protegida para cuidar tu información en archivos de configuración.

Usa las cookies a tu favor

Las cookies son un herramienta útil para guardar información específica sobre los usuarios. Pero ten cuidado, al final del día envían al explorador de tu equipo y con ello quedan expuestas a la suplantación y otros malos usos. No coloques información crucial en cookies. El buen funcionamiento de tu aplicación se puede ver en riesgo si alguien te suplanta. Ponle fecha de expiración a las cookies.

¿Conoces alguna otra forma de protegerte? ¿Qué opinas de estas pautas? Coméntanos.