seguridad

Robots, bots, spiders, arañas, pueden llamarlos como quieran, pero lo importante es saber que se trata del software que usan los buscadores y otros sitios para recorrer la web e indexar contenido. Por ende, son a quienes les debemos “decir” que es lo que queremos, o no, indexen de nuestro sitio, y para eso existe el archivo robots.txt.

R2D2 tiene mas onda que Asimo

Imagen robada sin escrúpulos de Wikipedia. shhh, botones.

¿Qué hace el archivo robots.txt?

El archivo robots.txt debe ser accesible públicamente y estar ubicado en directorio raíz del host, ej: cibergeek.com/robots.txt. Debido a que es su naturaleza publica muchas veces son indexados por Google y publicados en los resultados.

Éste archivo contiene directivas para indicarle a los bots que es lo que pueden, y no pueden, indexar. Y si bien según el W3C en el archivo robots.txt solo sé debe indicar que es lo que NO se deben indexar mediante la directiva “Disallow”, Google admite la directiva “Allow”, que justamente tiene permite indicar que es lo que se puede indexar.

Además de indicar que, también permite indicar el quien, ya que la directiva “User-agent” tiene como finalidad crear diferentes reglas para los diferentes bots.

¿Hay alguna otra forma de hacerlo?

El archivo robots.txt muchas veces tiene problemas con la granularidad, y es por eso que se puede complementar con la etiqueta “meta“, la cual permite definir en cada pagina si ésta puede ser indexada, además de detalles extras, como si los links de la pagina se deben seguir.

<meta name=”robots” content=”noindex, nofollow”>

Como se habrán dado cuenta, la etiqueta “meta” tiene la desventaja de poder estar presente solo en paginas HTML, y no en recursos como archivos PDF, SQL, etc, y aquí entran en juego los encabezados HTTP (HTTP Headers), los cuales permiten mediante el agregado del elemento “X-Robots-Tag”, incluir en la respuesta del servidor la misma información que se puede especificar en la etiqueta de HTML.

Pueden leer un poco sobre el uso de las etiquetas en la web de NoArchive.

La seguridad por oscuridad y el archivo robots.txt son incompatibles

Y por fin llegamos a lo que quería remarcar, tal vez la introducción fue un poco larga, pero bueno, quería añadir un poco de contexto. El concepto de seguridad por oscuridad se basa en una decisión de diseño que lleva a pensar que la información, si bien es vulnerable, el desconocimiento de la ubicación de la misma le da su seguridad.

Y es cuando el webmaster (que palabra vieja), quiere asegurarse de que los buscadores no indexen la misma cuando la terminan haciendo vulnerable, ya que el archivo robots.txt termina indicando como acceder a eso que muchas veces no se quiere hacer publico, aunque también sirve para evitar que los buscadores indexen paginas que no tienen ningún contenido o las cuales consumen muchos recursos como para ser servidas a un bot.

Por todo esto es que si quieren que algún archivo o servicio que no sea accesible al publico, lo que no deben hacer es incluirlo en el robots.txt. Sino que deben utilizar otras estrategias, como agregar el elemento X-Robots-Tags a los headers, o mejor aún, si se trata de información sensible, no enlazarla desde ningún lado, además de setear correctamente los Headers HTTP, si bien deberían situarla detrás de algún tipo de autenticación, al menos. No vaya a ser que mediante una búsqueda terminen quedando expuestos esos archivos que se esforzaron en ocultar, un Streisand Effect en potencia.

Conclusión (TL;DR)

Si querés ocultar algo y evitar que lo indexen, no lo agregues en el archivo robots.txt. Usá las demás alternativas.

Guías de configuración de Seguridad para Windows, Mac OS, Linux y Solaris

En el sitio de la Agencia de Seguridad Nacional de Estados Unidos hay una serie de artículos con recomendaciones de seguridad para distintos Sistemas Operativos, como son Windows, Mac OS, Linux y Solaris. Éstos documentos son utilizados gubernamentalmente y por empresas externas, según dice el sitio de la NSA.

Logo de la NSA y del CSS

Configuración de seguridad para Sistemas Operativos Windows

Las guías abarcan los siguiente sistemas operativos de Microsoft: Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 y Microsoft Windows Applications.

Configuración de seguridad para Sistemas Operativos Mac OS

En el caso de Apple hay guías disponibles para Mac OS X  10.6 Snow Leopard y Mac OS X 10.5 Leopard.

Configuración de seguridad para Sistemas Operativos Linux

Del lado de Linux solo existe informacion para la distribucion Red Hat Enterprise Linux 5.

Configuración de seguridad para Sistemas Operativos Solaris

Por ultima también tienen guías para el ex Sistema Operativo de Sun Microsystem que ahora pertenece a Oracle, Solaris 10 y Solaris 9.

Si les interesa pueden ingresar a la pagina de la NSA.

El dilema de la pregunta secreta y la seguridad

La mayoría de los servicios de correo o similares requieren de una pregunta secreta cuando nos registramos, la cual es utilizada en caso de que olvidemos la contraseña de nuestra cuenta, el problema es que éste no es un método muy seguro de comprobar la identidad de una persona, menos en la era de las redes sociales donde hay gente que publica prácticamente toda su vida en las mismas.

Bien sabido es que nada es completamente seguro, y la única forma de proteger algo es manteniéndolo en nuestra memoria y no compartiéndolo con nadie, aunque hay cosas que no podemos proteger, por ejemplo, la escuela a la que fuimos, y aunque no se pueda proteger siempre es una buena idea no andar publicándolo por ahí, a menos que hallamos sido precavidos al momento de responder o elegir nuestra pregunta secreta.

¿Que se puede hacer?

Hay 2 estrategias, aunque una de ellas no puede ser aplicada en todos los servicios.

Responder incorrectamente

Al responder incorrectamente la pregunta secreta evitamos que alguien que nos conozca o pueda obtener la información de algún lado pueda ganar acceso a nuestras cuenta, la desventaja es que deberemos recordar lo que respondimos, y en teoría la razón por la que podemos necesitar de utilizar del método de identificación a través de la respuesta es porque no recordamos nuestra contraseña en primer lugar. Anotar la respuesta  en algún lado puede ser una mala idea, pero es una mejor idea que anotar directamente la contraseña.

Elegir la pregunta

Éste método no me resulta tan seguro como el anterior, si bien podemos elegir una pregunta muy personal, lo normal es que siempre haya alguien que sepa la respuesta. Ademas, no todos los servicios nos permiten escribir nuestra propia pregunta.

Precauciones a tener en cuenta

Las cadenas que circulan por correo electrónico o los juegos de las redes sociales que nos hacen responder una serie de preguntas para crear una perfil sobre nosotros o algo así son un potencial peligro, ya que sin darnos cuenta podemos estar dando las respuesta de las preguntas secretas por defecto de muchos servicios, lo que no es nada bueno, ténganlo muy en cuenta la próxima vez que quieran saber si van a ser millonarios o cuando van a morir.