Asegurarse de que una aplicación web sea segura antes de utilizarla

8

¿Cómo se puede verificar la seguridad y la legitimidad de una aplicación web antes de acceder a ella?

security Woot4Moo
fuente

Respuestas:

5

La respuesta de dhulk ​​tiene buena información, pero creo que son secundarias.

Comencemos con algunos conceptos básicos:

¿Se está ejecutando en https ? Mira en tu barra de direcciones. Si la URL comienza con https, el tráfico hacia y desde esta aplicación se cifra.

El hecho de que se ejecute en https no garantiza que sea seguro. La compañía (o persona) que creó el sitio tiene acceso total a cualquier información que envíe.

Examine el certificado Haga doble clic en el icono del candado para ver la información de certificación (la posición del candado varía de un navegador a otro). Mire a quién se le expide el certificado. Si el nombre de la empresa no parece familiar, realice algunas búsquedas en Google para averiguar cuál es la relación entre el titular del certificado y el servicio.

Busque una política de privacidad. Esto debería especificar qué hacen con la información que usted les proporciona. No garantiza que obedecerán su política establecida, por supuesto.

Investigue su reputación. Haz algunas búsquedas en google y twitter. Pruebe cosas como "no confíe en X" o "seguridad de X" (donde X es el servicio)

En general, está buscando una imagen coherente que sugiera que los operadores del sitio sean francos y confiables. Todavía no es garantía, pero es un gran comienzo antes de divulgar información personal.

Doug Harris
fuente
Gracias por el aporte sobre esto como seguimiento, hice otra pregunta específica en la que puede ayudar: webapps.stackexchange.com/questions/807/…
Woot4Moo
Respuesta decente, pero las preocupaciones de dhulk ​​son cualquier cosa menos secundarias. Los ataques de secuencias de comandos entre sitios son una buena forma de secuestrar su computadora por parte de desconocidos, por lo que su recomendación NoScript es muy importante.
Scott Lawrence
Sí, con respecto a NoScript, el único lugar donde no lo uso es aquí en el trabajo, ya que soy un desarrollador web y generalmente solo estoy mirando Google, Stack Overflow y los sitios que he construido, así que estoy no le preocupan tanto los ataques de secuencias de comandos en ese momento.
Blair Scott
No quise decir que las preocupaciones de dhulk ​​fueran de menor importancia. En cambio, quise decir que hay otros elementos que examinaría primero. NoScript es una solución muy buena, para aquellos de nosotros que entendemos lo que está haciendo. Creo que la gran mayoría de los usuarios de la web no saben, no les importa y no deberían necesitar saber qué se maneja mediante secuencias de comandos frente a HTML estático. Con NoScript instalado, estos usuarios quedarán confundidos por un sitio que aparentemente no funciona.
Doug Harris
Muy cierto, a menudo me olvido de que lo tengo funcionando y siempre ocurren ligeras frustraciones cuando visito un sitio nuevo y no funciona. No es algo que los principiantes quieran usar realmente.
Blair Scott
4

Lo que buscas puede ser un poco difícil. Sin embargo, si usa Firefox, hay un par de cosas que hago para protegerme de las páginas que no he visto antes.

En primer lugar, uso el complemento NoScript para Firefox. Evita que Javascript se ejecute en sitios que no permites explícitamente.

En segundo lugar, hace unos días me encontré con esto, HTTPS Everywhere lo cambia a la versión HTTPS de varios sitios que le ofrecerán una mayor seguridad. Además de eso, puede agregar tantos conjuntos de reglas como desee para que cualquier sitio que encuentre y desee usar la versión HTTPS (tiene que estar disponible, por supuesto).

Espero que esto ayude.

Blair Scott
fuente
HTTPS Everywhere es una sugerencia increíble. ¿Están haciendo una extensión para Chrome?
jinsungy 01 de
No estoy seguro, acabo de enterarme de eso recientemente, pero espero que sí.
Blair Scott
Voy a echar un vistazo a HTTPS en todas partes
Woot4Moo
No puedo ver cómo la existencia de https garantiza que la aplicación web sea "segura". les transfieres cosas encriptadas y a tus espaldas venden los datos. tal vez no entendí el significado de la pregunta en primer lugar ...
akira
@akira no lo hace realmente, pero la aplicación web que es segura no es todo lo que necesita preocuparse. Realmente no hay una manera de garantizar que sus datos estén seguros, ya que incluso las personas que afirman cuidar su información (¿recuerdan Google buzz?) Accidentalmente pueden hacer cosas con sus datos que preferirían no hacer.
Blair Scott
4

Sugerir algunos puntos no técnicos que quizás desee considerar además de las medidas de seguridad mencionadas por otros. Requieren que use el sitio hasta cierto punto, por lo que tendrá que estar preparado para ver partes del sitio, por lo que si realmente está preocupado, es posible que desee tomar precauciones primero (sin script, desactivando cookies, etc.).

  • Hay una página Contáctenos que enumera una dirección física y un número de teléfono de la empresa.
  • Todos los enlaces apuntan a donde dicen que apuntan: compruebe que la URL en la barra de estado es lo que espera que sea.
  • Te permiten mirar alrededor del sitio antes de registrarte. Si bien no puede esperar el acceso a todo el contenido, debería poder ver algunos: imágenes de baja resolución, los primeros párrafos de artículos, etc.
  • Cualquier costo se establece claramente antes de registrarse.
  • Hay una opción sin costo que permite el acceso a cierto contenido.
  • El sitio no debería pedirle que instale nada en su computadora.

Si bien no esperaría que todos estos estén siempre presentes (aparte de la página de contacto), después de todo, cada sitio es diferente, esperaría algo de contenido gratis.

ChrisF
fuente
1

Nunca puedes estar 100% seguro.

Diferentes navegadores pueden ayudarlo de diferentes maneras:

IE tiene varias características de seguridad

Como lo hace Firefox

Y Chrome también

Los tres tienen una función que detectará posibles programas maliciosos, phishing, obsoletos o certificados incorrectos.

Shevek
fuente
0

Mi principal preocupación es la seguridad, no tanta legitimidad. A veces, un sitio es tan nuevo que no encontrarás mucho sobre él.

Por seguridad, probaría si el sitio evita XSS, CSRF, recorrido de directorio, desbordamientos de búfer, inyección de SQL, etc. Hay varias formas de probar cualquiera de los exploits anteriores, y cualquier sitio que falle su prueba debe verse con preocupación.

cherrypj
fuente
0

Instale WOT o SiteAdvisor o busque el sitio en su sitio web. Vaya a la página del sitio y lea los comentarios.

Gelatina
fuente