DESARROLLO DE APLICACIONES

DE WEB

Cristina Correa Mancho

January 23, 2015

0.1 TIPOS DE APLICACIONES WEB

En la ingeniera software se denomina aplicacin web a aquellas aplica-ciones que los usuarios pueden utilizar accediendo a un servidor web atravs de Internet o de una intranet mediante un navegador. En otraspalabras, es una aplicacin software que se codifica en un lenguaje so-portado por los navegadores web, y enla que se confa la ejecucin dela aplicacin al navegador. En la actualidad son muy usadas ya quenos permiten una comunicacin rpida, fluida y dinmica, otra de lasventajas es que se pueden utilizar sin tener que instalarse, nos per-miten tener una mejor comunicacin entre el usuario y la informaciny el acceso rpido a los datos, ya que la pagina responde a las accionesque da el usuario.

Podemos encontrar dos tipos de Aplicaciones Web las contienen siem-pre la misma informan y las que se actualizan de manera constante,las cuales son las paginas estticas y dinmicas.

Paginas estaticas, son aquellas que mantienen siempre la mismainformacion, muestran una informacion invariable y son un recursorapido y sencillo para tener presencia en Internet.

Paginas dinamicas, se pueden alimentar con datos presentes enbases de datos, el sistema de archivos, etc. Son todas aquellas pginasque visitamos y cambian su contenido cada dıa son dinamicas. Elprincipal objetivo de usar pginas dinamicas es poder actualizar demanera rapida y sencilla los contenidos.

El uso de paginas estaticas o dinamicas depender de nuestras necesi-dades si deseamos mostrar siempre la misma informacion optaremospor una pagina web estatica, mas sin embargo si nuestro negocio estaen constante cambio tendramos que optar por una pagina dinamica.

0.2 DIFERENTESMEDIOS DIGITALES Y SUSCARACTERISTICAS PARA SU UTILIZA-CION WEB

Los medios digitales son aquellos que contiene audio audio, videoe imgenes y que han sido comprimidos y codificados, es decir unavez que se han comprimido y codificado pueden ser manipulados,distribuidos y representados fcilmente a travez de redes informaticas.

1

Para el uso de audio y video en la web solo se tiene que agregar alcdigo HTML las etiquetas propias del mismo asi como la direccin srcdel audio o video para poder insertarlos en nuestra pagina, tambinpodemos usar controles que nos permitiran controlar los mismos.

Para usar imgenes en la web tenemos que tener en cuenta el tamao,resolucin, asi como el tipo de imagen a utilizar no todos los formatosson ideales para web debido al tamao y resolucin, para insertar unaimagen en HTML debemos tener en cuenta estas caractersticas asicomo poner correctamente la carpeta donde esta alojada es decir susrc.s

0.3 LOS PROTOCOLOS DE SEGURIDAD

Un protocolo de seguridad define las reglas que gobiernan estas co-municaciones, diseadas para que el sistema pueda soportar ataquesde carcter malicioso. Protegerse contra todos los ataques posibleses generalmente muy costoso, por lo cual los protocolos son diseadosbajo ciertas premisas con respecto a los riesgos a los cuales el sistemaest expuesto

SSL son las siglas en ingls de Secure Socket Layer, es un proto-colo criptogrfico empleado para realizar conexiones seguras entre uncliente y un servidor. Un certificado SSL es un certificado digitalde seguridad que se utiliza por el protocolo SSL. Este certificado esotorgado por una agencia independiente debidamente autorizada yes enviado por el servidor de la pgina web segura. El navegador deinternet recibe e interpreta el contenido de dicho certificado y, al veri-ficar su autenticidad, indica que se est realizando una conexin segura;cada navegador de internet tiene diferentes formas de indicarlo, porejemplo un candado cerrado.

TSL que por sus siglas Transport Layer Security es el sucesor deSSL, este protocolo corrige las deficiencias de SSL, dando asi mejoresresultados.

Protocolo de HTTP con funciones de seguridad con clave simtrica.Otro protocolo que se emplea para la transmisin de datos seguros en laWWW es el SSL, y puede complementarse con SHTTP. La principaldiferencia radica en que SSL crea una conexin segura entre el cliente yel servidor web, en esa conexin se pueden enviar cualquier cantidad dedatos de forma segura. En tanto, SHTTP est diseado para transmitirmensajes individuales de forma segura.

2

SET (Secure Electronic Transaction; en castellano, Transaccin Elec-trnica Segura) es un protocolo desarrollado por Visa y Mastercard yque utiliza el estndar SSL . SET se basa en el uso de una firma elec-trnica del comprador y una transaccin que involucra, no slo al com-prador y al vendedor, sino tambin a sus respectivos bancos. Cuandose realiza una transaccin segura por medio de SET, los datos delcliente son enviados al servidor del vendedor, pero dicho vendedor slorecibe la orden. Los nmeros de la tarjeta del banco se envan directa-mente al banco del vendedor, quien podr leer los detalles de la cuentabancaria del comprador y contactar con el banco para verificarlos entiempo real. Este tipo de mtodo requiere una firma electrnica delusuario de la tarjeta para verificar que es su propietario.

0.4 TIPOS DE VULNERABILIDAD

Un sitio web puede ser blanco fcil de hackers, extorsionadores queusan las vulnerabilidades de tu pgina como puntos de entrada. En-tre los daos que puedes sufrir es el robo de informacin de usuarios,prdidas financieras, convertir tu sitio en un punto de descarga de pro-gramas maliciosos o dejarte fuera de lnea. De acuerdo al objetivo detu web ya sea un portal empresarial o una pgina de entretenimientodebes evaluar los riesgos e identificar los puntos vulnerables de tuproyecto.

Inyeccin Ocurre cuando a nuestro sistema entra informacin noconfiable a travs de formularios o comandos que son interpretados porqueries en nuestra base de datos. Puede resultar en robo o prdida denuestra informacin.Solucin: Validar y limpiar todo lo que el usuarioingrese a nuestro sistema antes de realizar cualquier proceso ademsde usar Prepared statements y stored procedures.

Secuencias de comandos en sitios cruzados (Cross-site scripting,XSS). Esta falla permite desplegar en el navegador datos no con-fiables proporcionados por usuarios, generalmente inyectando cdigojavascript malicioso. Estos datos pueden secuestrar tu sitio web, per-mitiendo que tus usuarios sean redireccionados a sitios maliciosos odescarguen malware.Solucin: Validar y escapar cualquier dato a serimpreso en tu sitio, trata siempre de usar herramientas de templateslos cuales te permitan optimizar este proceso (Freemarker o Smarty).

Autenticacin rota. Se presenta cuando es posible suplantar la iden-tidad del usuario al obtener acceso a datos como contraseas o identi-ficadores. Un ejemplo es poder modificar el id de la sesin en la cookiey obtener as acceso como un administrador o cambiar el perfil de

3

acceso.Solucin: Verificar los procesos de autenticacin, usar mecanis-mos y libreras ya existentes. No guardar informacin sobre permisoso identidad en cookies.

Solicitudes falsificadas en sitios cruzados. El atacante engaa a lavictima a enviar solicitudes HTTP que no desea lo que permite alatacante ejecutar operaciones que el usuario no desea.Solucin: Con-trolar el flujo de los procesos usnados tokens nicos por sesin y porsolicitud

Configuracin errnea de seguridad. Un parmetro mal especificadopuede permitir el acceso a nuestras aplicaciones.Solucin: Definir to-dos los elementos de seguridad y no usar atributos por defecto (porejemplo el usuario y password root), mantener nuestras aplicaciones,servidores y libreras siempre actualizados.

Fallas al restringir acceso URL. Una pgina en nuestro sitio que nosea no validada puede permitir el acceso reas restringidas mediantela manipulacin de la URL otorgando permisos administrativos a unatacante. Por ejemplo tener una pgina admin.php como centro decontrol y no validar su acceso.Solucin: Validar todas las pginas o con-troladores, usar mtodos de autenticacin incorporados en el servidor.

Forwards y Redirects no validados. El permitir que tu aplicacinenvi a tus visitantes a otra pgina o sitio sin validar puede dejarloscaer en sitios de phising o malware.Solucin: Valida y lleva un controlsobre los links y forwards que aparecen en tu pgina.

4