Javascript y 2 prácticas de (in)seguridad fáciles de evitar

Javascript es amor. Javascript NO es JAVA. Javascript no es pariente de JAVA. Javascript se llama así porque cuando estaba dando sus primeros pasos JAVA era el lenguaje de moda, todo esto por allá por 1995, en definitiva todo una cuestión de marketing.

En éste post quería resaltar 2 errores que veo comúnmente, el primero es hacer validaciones del lado del cliente de datos que no deberían ser visibles por un tercero, y el segundo esta relacionado con el acceso al sistema y la carga de librerías que no son estrictamente necesarias, recuerden que el código Javascript puede ser leído fácilmente por el usuario.

No expondrás tu validación al cliente

Ojo, se puede validar, por ejemplo, que el campo para el nombre solo contenga letras, espacios y guiones, ése tipo de validaciones están bien. El problema es cuando se valida un código el cual se obtiene a través de una función que toma datos conocidos por el cliente. La realidad es que esto es malo y no se debe hacer, pero si lo van a hacer, por lo menos no incluyan también el script de validación del lado del cliente.

Ejemplo. El sitio web de un municipio pide el DNI del dueño de una casa, la dirección de ésta y un código de validación para acceder a más datos sobre la misma, datos que solo deberían ser accesibles por el dueño. El código de validación se calcula a través del DNI y la dirección. La función realiza algunas modificaciones al DNI y la dirección y luego algunas cuentas mágicas y devuelve un código, que es el código de validación.

La práctica anterior es cuestionable, no deberían utilizarla si de verdad se preocupan por la confidencialidad de los datos, pero si la utilizan lo peor que pueden hacer es calcular el código de validación del lado del cliente utilizando Javascript, no, por favor, no. Y ojo, Javascript no tiene la culpa.

Incluir Javascript antes de autenticar al usuario

Este error ocurre a menudo, pasa mas o menos así.

  1. Un usuario intenta acceder a una función que requiere que éste esté logueado.
  2. El sistema muestra la pantalla de logueo.
  3. El sistema ya cargó los scripts del área “protegida”.

Esto no siempre está mal, el problema surge cuando los scripts exponen información sobre funciones internas del sistema, por ejemplo, llamadas AJAX a ciertos puntos de la aplicación. El peor escenario ocurre cuando esas URLs no verifican que el usuario esté autenticado y tenga la autorización correspondiente para ejecutar la acción.

Ojo, no está mal cargar librerías/scripts genéricos, como por ejemplo jQuery, pero de todos modos siempre intenten solo incluir lo justo y necesario para que el sitio permita realizar las acciones que corresponden. Y siempre verifiquen que el usuario esté autenticado y autorizado (que tiene el rol adecuado) para ejecutar una acción.

Relacionado con este ultimo punto, también se debe deshabilitar el listado de directorios en el servidor, ya que de nada sirve no incluir los archivos si alguien pueden navegar la estructura de archivos para llegar a ellos.

Conclusión

Si están dando sus primeros pasos en el desarrollo de aplicaciones, o si es la primera vez que van a hacer una aplicación que maneja datos sensibles, o si simplemente les interesa el tema, deberían darse una vuelta por el sitio de OWASP, donde van a encontrar mucha información útil sobre seguridad y buenas practicas para el desarrollo de aplicaciones seguras.

La Wikipedia está viva

A veces me gusta imaginar a la Wikipedia como un coral, un organismo multicelular que se nutre de todos para sobrevivir. Sobre todo en la época que aparece el banner con Jimmy poniendo cara de perro mojado para que le tiren un par de millones. Jimmy, sos groso, sabelo. Jimmy ¡Yo te banco!

Ok ¿Qué quería escribir? Ahhh, si. Que ahora se puede escuchar a la Wiki.

Listen to Wikipedia

“Listen to the Wiki” garpaba mas.

Básicamente es un sitio que permite escuchar y ver las ediciones y los registros de usuarios de la Wikipedia, es super entretenido, y a mi particularmente me pareció que el sonido de fondo que se genera es parecido al de Minecraft. Ojo, no juego hace un par de años así que puede haber cambiado.

¿Qué esperan? ¡¡ENTREN!! ¡¡No los voy a defraudar!!

menem no los voy a defraudar

MENEM, al menos es capicúa.

Juro que en el primer intento la subida del archivo falló. ¿Será que el IDS detectó algo sospechoso?

Si quieren aprender mas pueden entrar al sitio de “Listen to Wikipedia”, y si eso no les alcanza en el sitio hay un link al repo en Github. Lo básico es que está hecho con D3.js y Howler.js.


Va a haber un antes y un después en el mundo cuando Google, o lo que lo reemplace, entienda que la foto de Carlos Saúl es utilizada con humor, como una cachada, en broma. ¡GOOGLE, TE ESTOY BOLUDEANDO, PAPÁ!

 

 

Taringa Creadores, una iniciativa para recompensar a los usuarios con Bitcoins

Taringa finalmente presenta un programa para recompensar a sus usuarios por el contenido que estos generan, era algo que desde los comienzos los usuarios querían y finalmente con la llegada de las criptomonedas se hizo posible, en gran parte porque los costos de administración y transferencia son muy bajos, y eso hacen que no se requieran grandes volúmenes para que cierren los números.

Xapo el cripto-aliado

Los pagos correspondientes se harán con Bitcoins, y Xapo es la plataforma que con la que se alió Taringa para embarcarse en este nuevo proyecto.

Xapo es una empresa creada por emprendedores latinoamericanos y justamente es este el mercado que mas conocen y en el que han puesto mucho de su esfuerzo. Recuerden que Bitcoin aún está en una etapa de difusión para llegar a un mayor volumen de gente.

¡Quiero ganar plata! ¿Qué hago?

Esperar, la paciencia es una gran virtud. Por el momento el programa estará disponibles para los “top content producers”, que vendrían a ser los super-full-users-2.0-con-doble-turbo-y-swift-speed, la verdad que hace mucho no entro a Taringa y no conozco las escalas de los usuarios, solo recuerdo que ser “New Full User” era la razón por la que todos mendigaban puntos.

Ahora que ya son conscientes del tema de la paciencia, pueden entrar a taringa.net/creadores e ingresar su correo en el campo que corresponde para enterarse de todas las novedades de este nuevo programa.

-¡Quiero saber más!
-Yo también. Entremos a Wikiped…
-No, sobre este tema de los bitcoins y Taringa.
-Ahhh, ok, entrá acá.

El “Like Box” de Facebook será reemplazado por el “Page Plugin”

A partir del 23 de junio el plugin “Like Box” de Facebook dejará de funcionar, por si no lo saben, este plugin es el utilizado para que se pueda dar “Me gusta” o “Compartir” una pagina de Facebook desde un sitio web. Pero tampoco es un desastre, ya que en realidad solo está siendo reemplazado por otro widget llamado “Page Plugin”, el cual tiene prácticamente las mismas funcionalidades.

like box reemplazado por page plugin

El aviso de Facebok

Configurar el Page Plugin

Crear un “Page Plugin” no es muy diferente a lo que nos tenía acostumbrados el “Like Box”, de hecho se utiliza la misma información para configurar el widget para incrustar en un sitio web.

  • URL de la pagina de Facebook
  • Ancho del widget (entre 230 y 500)
  • Alto del widget (mínimo 130)
  • Mostrar o no la portada de la página
  • Mostrar o no los últimos posts de la página
  • Mostrar o no la imagen de perfil de los amigos de la página

No se dejen estar, actualicen sus Like Box ya por la nueva Page Plugin. Por el momento el sitio está solo en inglés, pero no es necesario tener mucho conocimiento de inglés para crear el widget, de yapa les dejo traducidas las opciones por las dudas.

facebook page plugin español

Opciones del Page Plugin de Facebook

Al ir modificando los campos y checkboxes van a ver como se modifica la vista previa que hay debajo, por lo que pueden experimentar con diferentes combinaciones hasta llegar a una con la que se encuentren conformes.

 

 

 

WordCamp Buenos Aires 2015, llega el 30 de mayo

El 30 de mayo llega el WordCamp Buenos Aires, un evento de la comunidad WordPress que se realiza a nivel mundial desde hace unos años. Argentina fue el primer país donde se desarrolló fuera de los Estados Unidos.

A partir del viernes 24 se va a saber más sobre las charlas que se van a presentar, por el momento se sabe solamente de la participación de Richard ArchambaultLance Willet y Karen Arnold, los 3 trabajan relacionados con WordPress, ya sea directamente o a través de Automattic.

Si quieren hacerse una idea de los speakers pueden ver alguna de las charlas anteriores que han dado:

Y también pueden aprovechar y ver muchas otras charlas mientras están en WordPress.tv.

¿Dónde es el WordCamp?

Es en Capital Federal, específicamente en el “Centro Cultura San Martín” ubicado en Sarmiento 1551, a unas 4 cuadras del obelisco, por lo que hay muchas formas de llegar, si tienen dudas pueden ingresar al sitio para ver más información al respecto, sino también tienen la herramienta “CómoLlego“.

¿Cuánto sale?

¡Menos de lo que pensabas! El costo de la entrada es de $250. Una terrible ganga, sobre todo si están acostumbrados a ir a eventos de este tipo. La entrada de $250 (General) incluye: desayuno, almuerzo, snacks y una remera conmemorativa del evento.

Además, por $500 se puede comprar una entrada para micro-sponsors, cuya descripción es la siguiente: “Aparte de tener un ticket general para el evento, agradeceremos tu patrocinio durante el evento, haremos un tweet anunciando tu asistencia; tu nombre y link a tu sitio aparecerán en la web del evento.”

¿Dudas, consultas o sugerencias?

Pueden entrar al sitio oficial del WordCamp Buenos Aires 2015 y sacarse las ganas. Además de comprar una entrada, obvio.

Pagina 1 de 27212345678910...203040...Ultima »