Este es un proyecto cancelado que no recibe actualizaciones. No obstante, puedes acceder a su archivo como referencia.

Versión Cero

AJAX desde el punto de vista de la seguridad

Para la OWASP guide (la guía de seguridad de aplicaciones web de la que ya os hablamos) se está realizando una sección sobre AJAX. Es interesante leer algunas conclusiones preliminares que se comentan en la lista de correo webappsec:

  • Es un servicio web ligero
    Por lo tanto debe tenerse en cuenta temas de autenticación.
  • Validación de los parámetros
    El hecho de que las conexiones se realicen de modo oculto al usuario no hace que no se puedan utilizar las llamadas AJAX con cualquier parámetro. Por lo tanto aplica el mantra de validar cualquier cosa que nos llega del navegador.
  • Utilícese SSL cuando sea necesario
    Si se transmite información privada, tanto hacia el usuario como hacia el servidor, la conexión AJAX debe mantenerse bajo SSL.
  • Gestiones rápidas y simples
    Sobre todo si el trabajo se realiza para usuarios no autenticados, debe mantenerse el trabajo AJAX lo más sencillo y rápido posible. Sino, las conexiones podrán ser utilizadas para hacer un ataque DoS (Denial of Service)
Comentarios
Acerca - Contacto - Información legal y técnica - Condiciones de uso - Noticias sobre el mundo del Desarrollo de Software.