Os reenvio este correo escrito por Sixto Cantolla
______________________________________________________
Hola a todos:
Esta es mi primera intervenci�n en la lista, y espero que no sea la �ltima,
:), a pesar que llevo bastante tiempo apuntado. Bueno, no me enrrollo.
Pedro, te lo comento a ti de forma personal, por que has escrito el �ltimo
mensaje, pero es un comentario al aire:
Primero, el servidor seguro, hasta cierto punto no existe, pues el hacker
profesional se puede colar con paciencia en cualquier sitio aunque cada vez
se lo ponen m�s dif�cil, gracias a Dios, hay muy poquitos de esos (desde un
punto de vista comparativo) y los que existen se dedican a atacar a grandes
empresas abanderadas del capitalismo (bancos,etc...), o a departamentos de
gobiernos. Es un servidor con ciertos niveles de seguridad, no puedes listar
el contenido de directorio, a no ser que introduzcas el usuario y el
password adecuado, y al hacer una llamada a un asp, este se ejecuta en el
servidor de forma opaca, es decir, en ning�n momento el asp sale a la red
como c�digo, de forma que con ning�n software de escucha se puede acceder al
c�digo del asp, que es el verdaderamente importante, pues es el que negocia
con la base de datos (que a su vez est� alojada en el mismo servidor, por lo
que la negociaci�n tampoco se puede "escuchar" y por tanto capturar la
informaci�n). Por otra parte se supone que el servidor no permite la
descarga de ning�n tipo de archivo que no est� en un directorio espec�fico
en el que no hay nada que no quieras que se descargue. Por favor, corr�geme
si me equivoco en algo.
Bien, entonces esa parte es segura (hasta cierto punto), vamos ahora a la
parte de Flash o html. Realmente la programaci�n de html y flash, son
paralelas, pues en ning�n momento se tiene por que introducir informaci�n
que comprometa la base de datos, mas que el nombre de la p�gina ASP que
realiza la negociaci�n con la base de datos (que como ya hemos quedado es
"incorruptible"), ahora bien, cuando se piden los datos del usuario (id y
password p.ej.) y se env�an al asp es ah� cuando tenemos un agujero de
seguridad en el sistema, pues con un software de escucha simple dirigida a
la IP (huella digital del ordenador) del usuario que accede a la p�gina web,
puedes capturar los datos que env�as. Para evitar eso, se desarrollaron las
conexiones seguras (HTTPS), que tiene un sistema de encriptaci�n en la
m�quina cliente de 128 bits, y un desencriptador en la m�quina destino, que
lleva asociado una "llave", la explicaci�n del sistema es muy extensa,
adem�s de que hay documentaci�n en la red que lo explica de forma mucho
mejor de lo que lo pueda hacer yo. Como dato, este sistema de encriptaci�n,
se ha estimado que con 100 superordenadores trabajando 24 horas al d�a, se
tardar�a en desncriptar unos 7 a�os (con la tecnolog�a de hoy en d�a), el
dato est� citado de memoria, por lo que no ser� exacto, lo que quiero decir
es que el nivel de seguridad de este tipo de conexi�n es alt�simo. Por lo
que, sea en flash o html son igual de seguras.
Mi conclusi�n personal es que da igual que tecnolog�a uses, simplemente
escoge y �sala bien, todas son igual de validas, siempre y cuando tengas los
conceptos claros b�sicos de seguridad y sigas unas reglas de oro:
1. Escoge un servidor en el que te den por escrito garant�as de su seguridad
interna e impenetrabilidad del sistema, no te f�es de los servidores
baratos, los caros no garantizan algo mejor, pero los baratos no dan mucha
sensaci�n de seguridad, siempre pide garantias. Si el servidor es tuyo,
contrata a un t�cnico inform�tico con amplios conocimientos de seguridad
para mantenerlo.
2. Como bien dices, no pongas nada que no quieras que se sepa ni en un html,
ni flash, ni nada, repito nada, que se ejecute en la m�quina cliente (la del
usuario).
3. Cualquier envio de informaci�n susceptible de comprometer el sistema,
hazlo a trav�s de conexi�n segura, nunca envies informaci�n a trav�s de http
que no quieras que se vea.
4. Y nunca creas que est�s a salvo, pues much�simos virus funcionan como
esp�as en las m�quinas que infectan, ante lo cual tu no puedes hacer nada,
s�lo confiar en que el usuario sea responsable y tenga un antivirus
actualizado.
Sobre todo no hay que asustarse por las posibilidades de que rompan la
seguridad del sistema pues hoy en d�a hay muchas tiendas virtuales y grandes
bases de datos funcionando en internet que no han sido "reventadas" y como
tu bien dices algunas de ellas obvian de forma escandalosa las m�nimas
normas de seguridad para sistemas de ese calibre.
Creo que no me queda m�s por decir, s�lo te pido encarecidamente, que si me
equivoco en algo, me corrijas y trasmitirte mi admiraci�n Pedro por tu talla
profesional.
Un saludo a la lista y a los administradores de la lista
Sixto Cantolla
Director t�cnico
Azulmedia 2000
