Foros del Web » Programación para mayores de 30 ;) » Programación General »

Seguridad en webservice

 Estas en el tema de Seguridad en webservice en el foro de Programación General en Foros del Web. Hola Pregunto en este subforo por que la categoría "programando para internet" no tiene una sección "general" y mi pregunta, aunque es de tema web, ...
  #1 (permalink)  
Antiguo 01/09/2015, 04:19
Avatar de jc_moj  
Fecha de Ingreso: septiembre-2009
Ubicación: Andalucía
Mensajes: 137
Antigüedad: 15 años, 5 meses
Puntos: 12
Seguridad en webservice
Hola

Pregunto en este subforo por que la categoría "programando para internet" no tiene una sección "general" y mi pregunta, aunque es de tema web, es en general, no de un lenguaje específico.

Estoy con "los preliminares" de un pequeño proyecto personal/familiar que constaría de una página web, una aplicación móvil y quizás una de escritorio.

Mi idea es hacer un webservice o API REST (me pierdo con la terminología web, no sé cual sería el nombre adecuado) y tanto la aplicación móvil como la web y la de escritorio conectarían con el para extraer/insertar información.

Básicamente sería una pequeña base de datos y me preocupa precisamente el tema de seguridad, ya que no sé como se suelen hacer estas cosas (Es la primera vez que hago algo de este tipo). Y es que imagino que cualquiera que conociese la API podría crear una aplicación e insertarme datos o borrar información.

Así que mi pregunta es un poco genérica, ¿Cómo debo encarar el proyecto en cuanto a seguridad?

Un saludo
  #2 (permalink)  
Antiguo 01/09/2015, 06:15
Avatar de Profesor_Falken  
Fecha de Ingreso: agosto-2014
Ubicación: Mountain View
Mensajes: 1.323
Antigüedad: 10 años, 6 meses
Puntos: 182
Respuesta: Seguridad en webservice
Buenas,

Mi consejo es que no trates de reinventar la rueda haciendo tu propio mecanismo, sobre todo si no tienes grandes conocimientos (y das a entender que al menos sobre la creacion de apis REST no tienes muchos).
Lo primero que hay que saber sobre la seguridad es que 'security is hard'. Incluso grandes empresas como Google, Ms u Oracle, que tienen empleados a los mejores ingenieros de seguridad del mundo, tienes numerosos problemas todos los dias. No podemos pretender ser mas listos que ellos.

Bueno, al grano, que me disperso. Mis consejos para el tipo de proyecto que presentas:
-Autenticacion: basic http
-Autorizacion: seguir un protocolo como Oauth de intercambio de signatures: http://hueniverse.com/oauth/

Por ultimo, deberias seguir siempre los buenos consejos de OWASP:
https://www.owasp.org/index.php/REST...ty_Cheat_Sheet

Con todo esto tendrias una seguridad decente para tu API.

Si no utilizas HTTPS siempre podrias ser objetivo de ataques de tipo 'man in the middle' y en teoria alguien con conocimientos, medios y motivacion suficiente podria capturar la informacion y hacer 'replay'. Sin embargo para un proyecto familiar y pequeno como el que comentas considero que utilizar https es completamente overkilling.


Un saludo
__________________
If to err is human, then programmers are the most human of us
  #3 (permalink)  
Antiguo 01/09/2015, 09:24
Avatar de jc_moj  
Fecha de Ingreso: septiembre-2009
Ubicación: Andalucía
Mensajes: 137
Antigüedad: 15 años, 5 meses
Puntos: 12
Respuesta: Seguridad en webservice
Hola

Cita:
Iniciado por Profesor_Falken Ver Mensaje
Mi consejo es que no trates de reinventar la rueda haciendo tu propio mecanismo, sobre todo si no tienes grandes conocimientos (y das a entender que al menos sobre la creacion de apis REST no tienes muchos).
Yo siempre digo que no soy un programador experto, solo aficionado y amante de este mundillo, pero especialmente el tema web, le doy de lado todo lo que puedo

Cita:
Iniciado por Profesor_Falken Ver Mensaje
Lo primero que hay que saber sobre la seguridad es que 'security is hard'. Incluso grandes empresas como Google, Ms u Oracle, que tienen empleados a los mejores ingenieros de seguridad del mundo, tienes numerosos problemas todos los dias. No podemos pretender ser mas listos que ellos.
Cierto.

Cita:
Iniciado por Profesor_Falken Ver Mensaje
-Autenticacion: basic http
-Autorizacion: seguir un protocolo como Oauth de intercambio de signatures: http://hueniverse.com/oauth/

Por ultimo, deberias seguir siempre los buenos consejos de OWASP:
https://www.owasp.org/index.php/REST...ty_Cheat_Sheet
Voy a revisar todo eso a ver si me voy poniendo al día en este tema

Cita:
Iniciado por Profesor_Falken Ver Mensaje
Si no utilizas HTTPS siempre podrias ser objetivo de ataques de tipo 'man in the middle' y en teoria alguien con conocimientos, medios y motivacion suficiente podria capturar la informacion y hacer 'replay'. Sin embargo para un proyecto familiar y pequeno como el que comentas considero que utilizar https es completamente overkilling.
La información no va a ser privada ni "delicada", es más por el tema que cualquiera te meta basura en la base de datos y te estropee todo. Por eso un mínimo de seguridad, para que al menos tenga que ser alguien con unos mínimos conocimientos y se caliente la cabeza un rato

Un saludo

Etiquetas: lenguaje, programa, seguridad, webservice
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 13:55.