Seguridad En AJAX

Amenaza 1: Acelerar las actualizaciones de servicios y de código sin considerar las implicaciones para la seguridad

Los programas se suelen probar para funcionar en situaciones ideales en lugar de adversas. Los ataques familiares, como desbordamientos de buffer, inyecciones SQL y scripts entre sitios, se basan en la premisa de que, con frecuencia, el software no se escribe para tratar adecuadamente las excepciones.

Empezar por bloques modulares y patrones bien proba

dos es esencial para el éxito de la escala Web. Una vez ensamblados, los servicios Web se deben instalar en un lugar accesible, lo que

suele conllevar permitir el acceso a través de defensas tradicionales, como firewalls de red. Los firewalls de nivel de aplicación pueden ser eficaces para implementar arquitecturas de defensa de

profundidad.

Nada puede sustituir el desarrollo de software defensivo.

Amenaza 2: Incapacidad de proteger y auditar el número creciente de interacciones de los clientes Cuando una organización determina que sus aplicaciones Web pueden crecer, la gestión de identidades

es el siguiente paso para que la seguridad pueda adaptarse al crecimiento a escala Web.

Disponer de herramientas que permitan a los usuarios asignar derechos de acceso a los usuarios es esencial para que la seguridad. Esto significa que es posible asignar reglas y políticas basadas

en funciones a clases concretas de usuarios.

Amenaza 3: Vincular sin criterio nuevos servicios a

escala Web a otros entornos La información que antes era inaccesible externamente ahora puede obtenerse desde cualquier

lugar y con distintos dispositivos. Es un gran avance, pero vincular lo viejo, lo nuevo y lo que no guarda relación multiplica el número de riesgos potenciales para la seguridad.

También aumenta los problemas de confianza cuando los sistemas y dispositivos interconectados pertenecen a distintas entidades. Ésta es la razón por la que la capacidad de federación de

identidades debe formar parte de todo buen arsenal de seguridad a escala Web.

Amenaza 4: No comprender la naturaleza de lectura-escritura de las tecnologías de la escala Web

La capacidad de lectura-escritura de la Web 2.0 permite integrar protocolos tales como Ajax entre distintos entornos. Esta capacidad también puede exponer a los clientes y servidores a ataques

que pueden traspasar fácilmente los firewalls tradicionales.

La tendencia hacia el contenido Web auto-actualizable tiene sus pros y sus contras. Al permitir el acceso, la ejecución y la agregación de contenidos desde el cliente, se abre una nueva puerta en la que los atacantes pueden engañar a los usuarios y dirigirles a programas malintencionados que pueden infiltrarse en las redes corporativas.

Por ejemplo, Ajax permite emitir de forma asincrónica llamadas JavaScript desde un navegador.

Sin embargo, la descarga de JavaScript desde sitios que no sean de confianza puede permitir a los atacantes ejecutar llamadas Ajax malintencionadas en los navegadores. Los ataques de scripts

entre sitios pueden apropiarse de cuentas de usuario, lanzar intentos de phishing y ejecutar programas malintencionados en los sistemas de los usuarios.

Amenaza 5: Pasar por alto los fundamentos de los servicios Web

A pesar de que los despliegues a escala Web pueden parecer entornos totalmente nuevos, muchas de las consideraciones en materia de seguridad deberían resultar familiares. Los fundamentos de los servicios Web requieren la seguridad de la prueba del tiempo, la autenticación, autorización, confidencialidad, integridad y la auditoría de sistemas, redes, almacenamiento y servicios. Sin estos factores, la seguridad, sencillamente, no puede funcionar.

Los entornos a escala Web no pueden llegar muy lejos si no se basan en un fundamento seguro.

La elección de hardware y sistema operativo es esencial para que los servicios Web puedan crecer con seguridad. Pero la seguridad es mucho más que una combinación de productos y tecnologías.

Las buenas prácticas, la formación, la educación, los procesos y la política son elementos importantes para desplegar aplicaciones a escala Web.

Las páginas creadas dinámicamente mediante peticiones sucesivas AJAX, no son registradas de forma automática en el historial del navegador, así que haciendo clic en el botón de "volver" del navegador, el usuario no será devuelto a un estado anterior de la página, en cambio puede volver a la última página que visitó. Soluciones incluyen el uso de IFrames invisible para desencadenar cambios en el historial del navegador y el cambio de la porción de anclaje de la dirección (después de un #).

Los motores de búsqueda no analizan JavaScript. La información en la página dinámica no se almacena en los registros del buscador. Exceptuando Google, que desde el 2011 sí indexa contenido Ajax y JavaScript. Matt Cutts (director del departamento contra el spam en web de Google) lo confirmó en Twitter: “Googlebot keeps getting smarter. Now has the ability to execute AJAX/JS to index some dynamic comments.”

Hay problemas usando Ajax entre nombres de dominios, a esto se le conoce como Same Origin Policy o Política del Mismo Origen, lo cual es una medida de seguridad que puede ser solucionada con Cross-Origin Resource Sharing (CORS).

Dependiendo de como se desarrolle el sitio web, puedes mejorar o empeorar la carga en el servidor. Ajax puede ayudar al servidor a evitar la fase de renderización de HTML, dejándole ese trabajo al cliente, pero también puede sobrecargar al servidor si se hace varias llamadas a Ajax.

Es posible que páginas con Ajax no puedan funcionar en teléfonos móviles, PDA u otros aparatos. Ajax no es compatible con todos los software para invidentes u otras discapacidades.

Falta de integración con el botón retroceder del navegador. Se debe tener en cuenta esto al intentar guardar funcionalidad con este botón.

Falta de soporte para todos los navegadores. Aunque esto se va reduciendo, el problema se presenta por la falta de soporte para JavaScript y XMLHttpRequest.

Problemas si el usuario hadeshabilitado el uso de JavaScript en su navegador. Hay que tener esto en cuenta cuando desarrollamos nuestro sitio web, para enfrentarnos a esta situación.

No poder recomendar links específicos. Si hace que toda la web sea interactiva, no podremos recomendar algún link, ya que el contenido fue generando dinámicamente. Se debería encontrar un equilibrio dependiendo de las necesidades de su escenario.

Demasiado código Ajax hace lento el navegador. A más Ajax, más uso de código JavaScript del lado del browser, por consiguiente mayor

...