Como profesional de la seguridad de la información, he aprendido a aceptar que no hay un sitio web perfectamente seguro. Entonces cuando veo uno sospecho.
Como profesional de seguridad de la información, también he aprendido a aceptar que todo se trata de un riesgo aceptable. Así que trato de ver si esos riesgos son manejables.
Para responder la pregunta directamente, algunas cosas importantes que espero ver en un sitio web seguro:
- ¿Por qué debería usar Arch Linux para hackear?
- ¿La autenticación de dos factores revela las contraseñas de los usuarios?
- ¿Cuál es una buena estrategia mental para generar contraseñas seguras y memorables para cuentas familiares compartidas sin un servicio de terceros?
- Si quiero convertirme en un hacker, ¿por dónde debo comenzar?
- Siendo un investigador de seguridad independiente, ¿cómo le gustaría liberar errores de seguridad?
- Uso de TLS por defecto . Sí, TLS y ya no el SSL inseguro y fechado. Los sitios web transaccionales deben tener seguridad de nivel de transporte.
- La autenticación de usuario utiliza múltiples factores . Esto es particularmente cierto para los sitios web transaccionales. La seguridad debe estar en capas.
- El registro ya debe recopilar la información necesaria para restablecer la contraseña de forma segura . Los diseñadores deben asumir que los usuarios olvidarán sus contraseñas o credenciales de autenticación. Por lo tanto, debe estar disponible un mecanismo seguro para restablecer contraseñas.
- Utiliza la tecnología más simple posible . Aquí es donde el equilibrio es necesario. Los sitios que usan Applets Java, Flash y otros tiempos de ejecución complejos son una bandera roja en general. Sin embargo, esto debe ser equilibrado por las necesidades comerciales.
- Pasa el escaneo regular de vulnerabilidades web . Al menos, debe probarse regularmente con las recomendaciones de OWASP.
En general, ejercite el buen juicio y realice las pruebas periódicas necesarias para garantizar que las cosas estén seguras.