lunes, 8 de junio de 2009

Seguridad en Struts


¡Buenas a todos!. Como prometí hace ya bastantes días voy a tomar de nuevo algo más de actividad en "Informático y Segurata", que he tenido algo abandonado en los últimos tiempos. El trabajo y algunas otras cosillas no me dejan mucho tiempo para trastear y escribir en el blog, aunque espero que la cosa cambie.

Últimamente ha salido bastante material interesante sobre desarrollo seguro en el sitio web de OWASP. Hace ya un par de semanas se celebraron las conferencias Appsec Europe Conference y hay muchísimas cosas fresquitas para ir leyendo y mirando sobre desarrollo seguro. Pero no es esto lo que quería destacar, sino un trabajo de un grupo menos conocido, el Intrinsic Security Working Group, que ha realizado un estudio sobre los mecanismos de seguridad disponibles en Struts 2, y cómo ampliarlos.

Es una práctica habitual recomendar, como opción predeterminada, el uso de los mecanismos de seguridad que ofrezca el framework sobre el que se desarrolla una aplicación. Es una cuestión de sentido común: mejor no reinventar la rueda. Sin embargo, conviene estudiar cuáles son estos mecanismos, pues es posible que no sean completos. Este estudio compara Struts 2 con OWASP ESAPI, en cuestiones como autenticación centralizada, validación de entrada o defensa contra XSS (por poner tres ejemplos). Altamente recomendable :)

Slds!

Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...

2 comentarios:

manu ^^ dijo...
Este comentario ha sido eliminado por un administrador del blog.
Homo libris dijo...

¡Bienvenido nuevamente a la blogosfera, amigo Des!

Pues sí que resulta interesante la entrada y las referencias que aportas. Es cierto que, en materia de seguridad y temas de desarrollo, cuando usamos frameworks es conveniente ceñirnos al soporte que ofrecen de cara a la seguridad. En .NET, con el que suelo trabajar, también ocurre así (de hecho tengo pendientes desde hace siglos algunos artículos sobre el tema, pero como en tu caso, al final me pueden otras obligaciones :)).

Saludos y, una vez más, bienvenido.