Archivos de Tags: Programación

Seguridad en la Web: Identificadores.

Error de programaciónDesarrollar aplicaciones web, implica el uso de bases de datos, y con ello usar identificadores en los regístros para extraer información específica. Sin embargo, al igual que el desarrollo de algoritmos, hay diversas formas de ubicar el identificador en una aplicación para extraer la información solicitada. Ustedes dirían que esto es de primaria para un desarrollador, pero por más o menos experiencia que se tenga, nunca esta de más resaltar este tipo de detalles. Escribo esta entrada por que hace poco tiempo, me topé con este error en un sistema que úso ampliamente, y que otros colegas ya se habían percatado del error, sin embargo me reservo el derecho de mencionar en donde lo encontré. A continuación mencionaré tres formas de almacenar y extraer el identificador en una aplicación web durante la navegación.

Enviar el identificador por campo de texto en formulario.

Un metodo un tanto inseguro pero adecuado para manejar información que no requiere de mucha seguridad, esta forma consiste en utilizar un campo oculto de texto en un formulario para especificar que identificador tiene la información de la base de datos. Este es el tipo de error que me encontré en el sistema antes mencionado, el campo de texto no estaba oculto, solo desconectado. Gracias Firebug se puede modificar el valor de este campo de texto y hacer la petición de información, modificandolo podía extraer información de otros usuarios, ya que ese identificador era el del usuario. Esta forma la había visto aplicado en paneles de administración, que despues de haber pasado una capa de seguridad (como un inicio de sesión) podia ser utilizado. A pesar de ser utilizado en un panel de administración, los filtros eran aplicados adecuadamente en el lenguaje de programación del lado del servidor y no había gran problema apesar de que se podía modificar.

Utilizando cookies para compartir información.

Gracias a los cookies, podemos guardar pequeños fragmentos de información en el navegador y que son leídos únicamente por el dominio que fue creado, sin embargo, a mi criterio esta forma tiene seguridad média debido a que no queda excenta de modificaciones por parte del usuario cliente. Las cookies las habia visto utilizadas para identificar a un usuario y no presisamente en la base de datos, como por ejemplo podemos guardar una cookie que diga cuantas veces el usuario a visitado cierta pagina, entre otras cosas. También la he visto aplicada para la identificación de usuarios, sin embargo no recomiendo hacer esto sin tener ciertos filtros de seguridad que permitan saber si el usuario efectivamente es el, ya que se presta muchas veces al robo de cookies. Podemos hacer un registro a la base de datos para guardar cierta información temporalmente y que sea modificado unicamente por el lenguaje de programación del lado del servidor y guardar el identificador del registro en una cookie, sin embargo esto sería como emular la función de las sesiones, que en un momento comentaré.

Utilizar sesiones, mas seguro y cómodo.

Utilizar sesiones es mas o menos como lo habia mencionado en las cookies, pero estas son implementadas por el lenguaje de programación. Una sesion es.. valla una sesión que envía una cookie al usuario con un identificador y que nosotros podemos manejar información como variables que son almacenadas temporalmente en el sistema y accedidos por el lenguaje de programación. Esto es mas trabajo del lenguaje de programación y no tenemos que aplicar filtros de seguridad para poder validar las sesiones. Este método es mas seguro y comodo de usar, ya que con solo un arreglo de una variable superglobal ( en el caso de PHP ) podemos acceder a la información, inicializando previamente la sesión. Podemos crearlas, sobreescribirlas y eliminarlas como si fueran variables comunes y si el identificador de la sesion es transferida a otra PC el lenguaje ya no la toma como válida. Estas variables no pueden ser visualizadas por el usuario, lo que las hace mas seguras.

Como vemos, aquí estan algunas formas de proteger la seguridad de su información y sus usuarios, tengan cuidado de donde extraen los identificadores, ya que si son modificables se puede prestar a acceder a información que muchas veces cierto usuario no debe de ver o inclusive modificarla.

Saludos y espero les haya ayudado este pequeño post.

Imágen vía: Nogc Ha Flickr

Disfruta compartiendo

  • Print
  • Digg
  • StumbleUpon
  • del.icio.us
  • Facebook
  • Yahoo! Buzz
  • Twitter
  • Google Bookmarks
  • Bitacoras.com
  • email
  • FriendFeed
  • Google Buzz
  • LinkedIn
  • Meneame
  • Posterous
  • Wikio

Taller Javascript/AJAX en el ITTepic

Del 5 al 8 de Abril se realizará la Semana Academica del Instituto Tecnológico de Tepic, un evento en el cual todas las carreras suspenden clases (ujuss!!!) para ofrecer a los alumnos talleres y conferencias de diversos temas para cada carrera (más ujusss!!!!!). Anteriormente, cada carrera tenía su propia semana, ahora la administración de la institución ha tomado la iniciativa de que todas las carreras tengan su semana en una sola. En la carrera de Ingeniería en Sistemas Computacionales (como algunos ya saben que estudio esa carrera), se realizaba la Feria de Programación y Cultura, así cada carrera tenía su semana con su propio nombre.

Pues bien, este año, por motivos personales no podré asistir a las conferencias que son en la tarde, pero tomé la iniciativa de dar un taller. Este taller será de Javascript y AJAX. Será impartido todos los días que dure la semana academica con un horario de 9:00 a 13:00 hrs. Podrán participar alumnos y ex-alumnos de la institución, aún no se sabe si tambien abrirán para publico en general o lo dejarán solo para personas de la institución (alumnos, docentes, administrativos, etc). Tiene un costo de 100 pesos (baratisimo!) y podrán compartir la experiencia de aprender cosas nuevas.

Un saludo y espero verlos por ahí.

Has llegado a este artículo buscando:

Disfruta compartiendo

  • Print
  • Digg
  • StumbleUpon
  • del.icio.us
  • Facebook
  • Yahoo! Buzz
  • Twitter
  • Google Bookmarks
  • Bitacoras.com
  • email
  • FriendFeed
  • Google Buzz
  • LinkedIn
  • Meneame
  • Posterous
  • Wikio

Extraer galería de fotos de una Fan Page de Facebook.

En estos tiempos, donde muchisimas personas (por no decir todas) ya cuentan con un perfil en redes sociales, más sin embargo como ya sabemos, la “moda” o la red social con más usuarios en la red es Facebook. Esta plataforma cuenta con multiples servicios para los perfiles de las personas, como son: muro de mensajes (alias ‘twitter de facebook’), fotos, videos, notas, aplicaciones, etc. Las empresas pueden aplicar estos mismos servicios, no como un perfil de usuario, si no como una compañía con una pagina fan. En estas paginas, las personas se unen para conocer sus promociones, fotos y actividad de dichas empresas. Esto es solo un gancho social para atraer a los usuarios, o como mantener clientes leales como tal es el caso de Starbucks. Todo esta plataforma puede ser aprovechada por los desarrolladores web para extraer la información con ayuda del API, creando un concepto muy parecido al de la nube (cloud computing). Pues bien, ahora vamos a aprender un poco de como aprovechar esta plataforma para crear galerías de fotos. Empezamos.

Lo primero…

Antes de empezar necesitamos contar con lo siguiente:

  • Tener una cuenta en Facebook
  • Tener acceso a la Fan Page de donde vamos a extraer la galería.
  • Soporte libreria JSON de PHP
  • Que la Fan Page sea totalmente publica.
  • Que nuestro servidor soporte cURL (opcional).

Si contamos con lo anterior, ya podemos trabajar sobre nuestra pagina web para que muestre las fotos de facebook en el sitio. Si tu servidor no cuenta con cURL, no te preocupes, más adelante te voy a decir una alternativa a cURL. Como la galería tiene que ser publica, entonces no necesitaremos del access_token que necesita el Graph API de Facebook para reconocer al usuario que ya inicio sesión. Ahora si… sobre la marcha.

Leer más »

Has llegado a este artículo buscando:

Disfruta compartiendo

  • Print
  • Digg
  • StumbleUpon
  • del.icio.us
  • Facebook
  • Yahoo! Buzz
  • Twitter
  • Google Bookmarks
  • Bitacoras.com
  • email
  • FriendFeed
  • Google Buzz
  • LinkedIn
  • Meneame
  • Posterous
  • Wikio

Humor: Java 4-ever, el hijo que no desarrolla en tecnologías de Microsoft

Sin duda, uno de los mejores videos que he visto referente a la programación en Java. Esta historia trata de una familia donde el papá es desarrollador utilizando las tecnologías de Microsoft, hasta que un día el papá le leía un cuento manual de Windows, y el pequeño pregunto a su padre: ¿Por qué usas .NET?. El padre indignado lo mandó a dormir… y bueno, mejor ustedes juzguen.

Necesitas Adobe Flash Player para ver este video.

Pd: no apto para personas comunes y corrientes xD.

Disfruta compartiendo

  • Print
  • Digg
  • StumbleUpon
  • del.icio.us
  • Facebook
  • Yahoo! Buzz
  • Twitter
  • Google Bookmarks
  • Bitacoras.com
  • email
  • FriendFeed
  • Google Buzz
  • LinkedIn
  • Meneame
  • Posterous
  • Wikio