Tema: Opiniones acerca de los Framewoks
Ver Mensaje Individual
  #41 (permalink)  
Antiguo 21/08/2007, 06:45
Avatar de _Lucifer_
_Lucifer_
 
Fecha de Ingreso: junio-2006
Mensajes: 1.662
Antigüedad: 18 años, 7 meses
Puntos: 28
Re: Opiniones acerca de los Framewoks
Cita:
Iniciado por Tukzone Ver Mensaje
Yo no soy experto en seguridad ni mucho menos, pero como usuario de frameworks lo que me fijo mucho es en:
  • La capa de abstracción a la base de datos, tiene que filtrar todo. Ahí ya reducimos 50% las posibilidades de que nos inyecten sql.
  • El componente que maneja los filtros. Por lo que lei, Chris Shiflett fue el arquitecto de Zend_Filter. Este componente de Zend es mi preferido y es muy seguro.
  • El componente URI, este es muy importante también, porque tiene contacto directo con el usuario. O sea, el usuario puede interactuar con este componente, lo cual presenta otra amenaza. Si el componente esta bien diseñado, va a filtrar todo por nosotros. XSS, URIs falsas en imagenes, etc.
  • El componente que maneja las sesiones. Tiene que proveer un mecanismo que evite el secuestro de cookies. También es muy importante como el sistema encripta los datos, keys, tokens, etc. Ya que a veces ni sabemos lo que hacemos con md5, crc32, sha1 y los hackers se hacen un festín con nuestra ignorancia.
  • Autenticación de usuarios. Muy pocas frameworks soportan HTTPS! En sitios de comercio electrónico, nunca usen HTTP.
Bueno, esas son algunas cosas básicas que ese me ocurren ahora.


¿Cuál de todos los que has probado cumple o sabes que cumple con todo lo que mencionas?

También he leído algo al respecto, acerca de inyección de sql entre otras cosas y es algo importante a la hora de hacer un sitio que pueda contener info delicada, aunque el sistema que haré dentro de poco es para la intranet de mi trabajo, sin embargo considero que es una buena oportunidad para poner todo eso en práctica.

Saludos
__________________
Si crees que no tiene sentido, etonces probablemente lo tenga... :arriba: