Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 20 de julio de 2008

(In)seguridad en la programación de sitios web

Seguridad de la información se refiere a un aglomerado de prácticas y procedimientos tendientes al resguardo de la información para protegerla en todo momento de diferentes amenazas, y esto se aplica desde la implementación de cualquier aplicación, ya sea en un Server o en una Workstation, hasta cuando se escribe código de programación.

En este sentido, es importante que los programadores no se preocupen tanto por la estética de lo que están desarrollando y tengan más en cuenta las consecuencias de seguridad en las que pueden caer los desarrollos cuando son creados sin pensar en los pilares de la seguridad de la información: confidencialidad, integridad y disponibilidad.

¿Pero que sucede cuando nuestra información en publicada de manera deliberada?

Un ejemplo de las malas prácticas de seguridad en cuanto a programación es el nuevo sitio web de un conocido periódico de Argentina, que a través de una campaña publicitaria por el día del amigo ha creado una verdadera fuente de inspiración para usuarios maliciosos.

El tema es así. Desde el siguiente formulario, donde debemos colocar nuestra dirección de correo electrónico, le enviamos un mensaje a algún amigo:

Pero si además queremos que reciba el mensaje por MSN, hacemos clic sobre e botón siguiente y en el próximo formulario ingresamos, además de nuestra dirección de correo, nuestra contraseña de acceso al correo y el tipo de cliente de mensajería que utilizamos :)


Una verdadera joya de cómo no se debe proteger la confidencialidad de la información que nos hace recordar a esas páginas que dejan saber quien te admite o no en los clientes de mensajería instantánea.

Si pensaron que todo termina aquí, se equivocan. Como si fuera poca la lección de malas prácticas, también podemos ver las direcciones de correo de quienes se atrevieron a “enviar mensajes”:


¡Sin palabras!

# pistus

0 comentarios:

Publicar un comentario en la entrada