La respuesta breve es que no puede confiar mucho en la seguridad del lado del cliente para los controles de seguridad críticos, simplemente porque está fuera de su control y es altamente vulnerable al malware en los puntos finales y servidores proxy en el medio. Valide todo el lado del servidor, especialmente la autenticación, autorización, registro, validación de entrada y gestión de sesiones.
Recuerde que si está utilizando AJAX, asegúrese de validar cada llamada que está proporcionando o podría proporcionarle datos de usuario. Asegúrese de hacer al menos un modelo de amenazas de seguridad de alto nivel para comprender sus amenazas y confiar en los límites, y cuando los datos y las funciones crucen esos límites, valide cada entrada y salida.
Lo que puede hacer del lado del cliente, diría, es más para uso que para seguridad, por ejemplo, no ha completado este campo obligatorio. Si está utilizando cookies, asegúrese de cifrarlas. Si odias a tus clientes y sigues usando contraseñas, solo desactiva el autocompletado (o al menos prueba) y el almacenamiento en caché de contraseñas (recuerda la funcionalidad de tipo de memoria). Firme criptográficamente todas sus sesiones (viewstate, etc. en .Net), use las características de tipo de protección CRSF en todos los formularios.
- He estado leyendo mucho alboroto sobre Java y sus serias fallas de seguridad ... ¿Qué tan preciso es y debo desactivar Java según lo aconsejado por múltiples fuentes?
- ¿Cómo pueden las computadoras entender el código? ¿Cómo es que el compilador puede entender el lenguaje, de alguna manera ponerlo en binario para ser entendido, y en realidad ser entendido por la máquina misma? Quizás haya algo de información errónea en mi pregunta, pero entiendes lo esencial. ¡Gracias!
- ¿Necesitamos una graduación para ser un profesional en piratería ética?
- ¿Estaba Rusia involucrada en el ataque a la red informática de la Casa Blanca?
- ¿Qué es una botnet?
Si puede hacer SSL bidireccional o validarse ante el cliente (por ejemplo, mostrando una frase o una imagen que seleccionaron al registrarse), eso también es bueno.