Professional Documents
Culture Documents
Actividades
Descripcin de la actividad
Pautas de elaboracin
Esta actividad sobre seguridad en aplicaciones Ajax abarca los problemas de seguridad
que tienen este tipo de aplicaciones, que caen en la categora denominada rich internet
applications y en las posibles soluciones a los mismos. Hay que consultar cuantas
fuentes relativas al tema se considere y sintetizar la informacin relevante sin limitarse
a copiar el contenido de alguna de ellas.
Criterios de valoracin
DESARROLLO DE LA ACTIVIDAD
Antes de comenzar a mencionar los problemas que tiene AJAX, merece mucho la pena
conocer un poco acerca de esta herramienta, saber que es y luego ya se pasar a hablar
de los problemas que presenta y de sus posibles formas de mitigacin.
Qu es AJAX?
En torno a consultar varios autores, podemos decir que AJAX es un acumulado de
tecnologas web que se usan en conjunto para permitir que puedan interactuar un
cliente y un servidor, esto lo hacen de manera dinmica y sin que se tenga que recargar
o refrescar la pgina web.
Una que hemos conocido un poco de esta tecnologa, pasamos a desarrollar la parte
negativa del uso de AJAX, hablaremos de los problemas de seguridad que tiene y qu
hacer con algunas posibles soluciones.
Por qu NO AJAX?
Parece algo no muy relevante pero a la vez lo es, muchas personas no recomiendan el
uso de AJAX porque no funciona en todos los navegadores web y tampoco funciona en
todos los dispositivos; por una razn que se desprende de su propio nombre JavaScript.
Si bien muchos navegadores web y dispositivos soportan JavaScript, no todos lo hacen
y ese es un gran punto en contra de AJAX.
Funcionamiento:
Mientras la aplicacin se ejecuta en el navegador del cliente, la comunicacin se realiza
de manera asncrona en segundo plano con el servidor.
Problemas de seguridad:
XSS (DOM)
Se puede alterar el contenido de un sitio, se puede robar cookies as como
credenciales y modificar direcciones de datos que van a los usuarios.
JSONP
Es un mtodo que nace con la finalidad de cambiar la limitacin que tiene AJAX
para realizar peticiones entre dominios, esto puede comprometer la seguridad
de los datos o credenciales del cliente.
JAVASCRIPT HIJACKING
Consiste en tomar el control de una sesin web, que por lo general es controlada
o administrada por medio de un token de sesin; Javascript Hijacking
compromete el token de sesin, lo roba y de esta manera tiene acceso no
autorizado al servidor web.
Posibles soluciones:
A continuacin y base a la consulta realizada en la actividad, se proponen las siguientes
posibles soluciones a los problemas de AJAX.
Como AJAX necesariamente ejecuta JavaScript, ese cdigo debe ejecutarse con
el uso de una sandbox, de esa forma el atacante que intente colarse queda fuera
y no tendra acceso a los recursos que le pudieran interesar de un ususario.
Una vez se han obtenido los ficheros JavaScript desde un nombre de dominio o
sitio web, los mismo no deben poder acceder a las propiedades de otro dominio.
Siempre tener en cuenta los ataques como XSS y XSRF, mediante un filtrado
correcto o con el uso de tokens.
Evitar almacenar datos delicados en el lado del cliente, ya que el atacante podra
acceder a ellos de forma relativamente sencilla.
Cualquier peticin que se haga con AJAX y que tenga relacin con el acceso a
recursos protegidos, deben siempre estar autenticadas.
Conclusiones:
Como resultado del desarrollo de esta actividad, se puede concluir:
Saber porque utilizar AJAX y cules son sus puntos negativos que hacen que no
termine de explotrselo al mximo.
Se pudo conocer algunos problemas de seguridad con AJAX, pero por otro lado
tambin se pudo verificar que existen mtodos para poder aplacar de cierta
forma estas fallas.
Webgrafa:
Saquete, Ramn. (2013). Human Level: Cmo evitar ataques de hackers en una
pgina web? Recuperado de:
https://www.humanlevel.com/articulos/desarrollo-web/como-evitar-ataques-
de-hackers-en-una-pagina-web.html