¿Cuáles son algunas de las mejores prácticas para la seguridad del navegador del lado del cliente (es decir, programas, configuraciones de seguridad, etc.)?

La respuesta breve es que no puede confiar mucho en la seguridad del lado del cliente para los controles de seguridad críticos, simplemente porque está fuera de su control y es altamente vulnerable al malware en los puntos finales y servidores proxy en el medio. Valide todo el lado del servidor, especialmente la autenticación, autorización, registro, validación de entrada y gestión de sesiones.

Recuerde que si está utilizando AJAX, asegúrese de validar cada llamada que está proporcionando o podría proporcionarle datos de usuario. Asegúrese de hacer al menos un modelo de amenazas de seguridad de alto nivel para comprender sus amenazas y confiar en los límites, y cuando los datos y las funciones crucen esos límites, valide cada entrada y salida.

Lo que puede hacer del lado del cliente, diría, es más para uso que para seguridad, por ejemplo, no ha completado este campo obligatorio. Si está utilizando cookies, asegúrese de cifrarlas. Si odias a tus clientes y sigues usando contraseñas, solo desactiva el autocompletado (o al menos prueba) y el almacenamiento en caché de contraseñas (recuerda la funcionalidad de tipo de memoria). Firme criptográficamente todas sus sesiones (viewstate, etc. en .Net), use las características de tipo de protección CRSF en todos los formularios.

Si puede hacer SSL bidireccional o validarse ante el cliente (por ejemplo, mostrando una frase o una imagen que seleccionaron al registrarse), eso también es bueno.

Related Content

¿Alguien puede "recoger mi bolsillo" electrónicamente si estoy usando un teléfono o tarjeta basada en NFC?

¿Es la MacBook la mejor computadora portátil para aprender a hackear y descifrar?

¿Hay algún grado para hackear?

¿Por qué los fabricantes de teléfonos Android luchan contra el acceso de root?

¿Podría un pirata informático piratear el back-end de Dropbox o un servicio en la nube similar y robar los archivos privados que se supone que no deben compartirse?

Verifique todos los datos que provienen de los usuarios … no puede confiar en nada, encontré un agujero XSS en Wells Fargo y tenía espacio ilimitado porque el límite de tamaño se impuso en el campo de entrada del lado del cliente y no por el servidor.

Rakkhi Samarasekera

Desde el panel de preferencias de Chrome / Chromium, puede deshabilitar todo javascript y habilitarlo por dominio como NoScript para Firefox. Desafortunadamente, no le permite seleccionar cuáles de los javascripts externos de una página permitir, es todo o nada según la ubicación del documento.

También ejecuto polipo ( http://www.pps.jussieu.fr/~jch/s …) con una lista de nombres de host prohibidos que eliminé de AdBlock. Es un poco más un mazo, pero me gusta, y la función de almacenamiento en caché es agradable.

Rakkhi Samarasekera

More Interesting

Si estuvieras 85% seguro de saber quién te estaba pirateando y hubieran arruinado tu vida, ¿qué harías?

Exactamente, ¿qué hace que los hacks de Siri sean ilegales o legales?

¿De qué sirve un hacker en las guerras?

¿Cuál es el mejor truco jamás logrado?

¿Qué debo hacer para reparar el problema de inicio en mi computadora portátil Samsung?

¿Cómo comercializan sus servicios las botnets?

Cuando una tienda importante tiene una violación de datos, ¿alguien es despedido?

¿Cómo están atravesando los hackers las redes corporativas con firewalls y otros sistemas de seguridad?

¿Debo hacer el curso de piratería de Internshala?

¿Por qué no se ha eliminado la cuenta de Twitter de LulzSec?

¿Cuál es la historia de la 'piña wifi'? ¿Qué tan comunes son?

¿Qué lenguaje de scripting basado en web es el mejor para hackear?

¿Cómo j-hack Asphalt 8?

¿Por qué nuestro sitio recibe intentos de piratería?

Ciberguerra: ¿Quién está detrás del ciberataque Flame?