Ante este gran dilema, la seguridad web, nos planteamos una serie de mecanismos que nos permitan hacer, de nuestra aplicación, un lugar mejor. Seguro que a la mayoría no nos gustaría ver un día, al entrar en nuestra aplicación Web, un “bonito” mensaje del tipo “This Web has been hacked by…”. Hay diferentes tipos de ataques a una página Web y cada uno de ello se puede solventar de forma diversa. En este caso solo hablaré de los ataques al servidor (aunque la mejor palabra para definirlo sería vulnerabilidades del software).

Las diferentes vulnerabilidades Web, entre otras, son:

1. Cross Site Scripting (XSS). Básicamente se basa en aplicaciones que permite ejecutar código de scripting (javascript, entre otros) y es causado por la no verificación de los valores introducidos por el usuario. XSS es un tipo de inyección HTML y permite a una persona mal intencionada ejecutar código en el navegador de la víctima y pudiendo insertar contenido nefasto, realizar ataques de phising, robar las sesiones de usuario,… entre otros. Generalmente, Cross Site Scripting, se suele utilizar JavaScript para esta finalidad, pero en realidad, cualquier lenguaje de script puede ser utilizado.

2. Inyecciones de código. Se basa en el envío de datos por parte del cliente a la aplicación con contenido malicioso y  utilizados directamente, por ejemplo, en sentencias SQL.

El típico caso de ataque de inyección es SQL Inyection, aunque también tenemos HTML Inyection (como el XSS), XPath, XML… Al igual que comentaba en el punto anterior, todos estos ataques suele producirse cuando el desarrollador confía demasiado en el usuario y no filtra correctamente todos los puntos de entrada de datos.

3. Ejecución maliciosa de código. Esta vulnerabilidad se basa en el uso de una variable procedente del usuario para incluir en nuestro código un fichero determinado.

Un claro ejemplo de ello, son aquellas aplicaciones que mediante el uso de un parámetro específico en la URI, hacen la inclusión de ese “módulo”. www.sergiquinonero.net/index.php?controlador=inicio donde en inicio podríamos encontrar algo tal que include $_GET['controlador'] .  ’.php’;

4. Cross Site Request Forgery (CSRF). Este tipo de ataque permite a una página mal intencionada, al ser visitado por una víctima, ejecutar una llamada Web a otra página (susceptible al usuario) y realizar una acción determinada sobre el site víctima.

Imaginaos qué, en una Web A tenemos una imagen oculta, cuya fuente de imagen sea http://www.facebook.com/profile/modify-mail/correo-malintencionado@miserver.com (obivamente esto es un ejemplo IRREAL).El usuario que visitase esa página Web A, si está identificado en facebook (en este caso) estaría permitiendo a la Web malintencionada, modificar su e-mail sin que éste se diera cuenta.

5. Fuga de información o Error en el manejo de errores. Esto suele ocurrir cuando nuestro servidor muestra los errores de programación (Fatal Error, Warning, Notices) que dan al usuario mal intencionado información de cómo es nuestra estructura permitiéndole utilizar otro tipo de vulnerabilidades para hacerse con el control total o parcial de nuestro sitio.

6. Robo de Sesión. Cuando un usuario inicia sesión en una página Web, normalmente, ese sitió dejará una galletita (cookie) en el ordenador del usuario con un session id que identificará ese usuario con esa máquina. El servidor también almacena ese ID junto con información del usuario. Como no es frecuente el uso de navegación segura (mediante HTTPS), cualquier persona mal intencionada (y con los medios) podría obtener esa información y suplantar a la víctima (creando una cookie con esa información).

No son todos estos puntos los únicos que hay que tomar en cuenta para prevenir ataques en páginas y aplicaciones Web, pero con ellos, estaremos un poco más seguros y podremos conciliar mejor el sueño.

1.- Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.

2.- La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial – un organismo dependiente del ministerio de Cultura -, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.

3.- La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.

4.- La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.

5.- Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.

6.- Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.

7.- Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.

8.- Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.

9.- Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.

10.- En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate público y habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.

Este manifiesto, elaborado de forma conjunta por varios autores, es de todos y de ninguno. Si quieres sumarte a él, difúndelo por Internet.

En el video se puede ver y oír LA FRASE.

No pasa nada, podéis bajar lo que queráis del eMule. No venderlo por favor [...]

Os animo a que escuchéis todo el congreso, aunque si queréis ir al grano solo hace falta escuchar el minuto 2:52 del video.

Os dejo también el enlace al primer video

Esta herramienta permite analizar los datos de las búsquedas que se han realizado en un período de tiempo o desde una región del mundo e intenta ayudar en la mejora de las campañas de publicidad efectuadas mediante el sistema de Adwords.

El servicio de análisis de búsquedas de Google, permite comparar búsquedas de conceptos, palabras, productos, en diferentes categorías y por espacios de tiempos definidos o países permitiendo obtener los resultados de diferentes maneras.

De esta forma, Google intenta que los anunciantes no sean tan reacios al uso de Adwords a causa de la efectividad de las campañas publicitarias On-line.

Así se contempla en el borrador del Real Decreto de Cartas de Derechos y Obligaciones de los servicios de Telecomunicaciones y la Sociedad de la Información, que el Ministerio remitirá mañana al Consejo Asesor Técnico de la Sociedad de la Información (Catsi).

Durante la rueda de prensa celebrada con motivo del millón de dominios ‘.es’, Sebastián reconoció que, de esta manera, el Gobierno “quiere terminar con la proliferación de ofertas de alta velocidad que no se cumplen”.

En la misma línea, el titular de la cartera de Industria explicó que los proveedores de banda ancha tendrán que revisar cada línea e informar a los usuarios de sus ofertas.

fuente original: EuropaPress

Con estos datos, Firefox ha entrado en el libro Guinness World Records.

En mi caso, como usuario de anteriores versiones de Firefox, puedo decir que la mejora de esta última versión de Firefox es, simplemente, increíble.

Barra de navegación mejorada, usando el sistema por “sugerencias” (suggest) buscando en las URLs visitadas y en los marcadores introduciendo solo una o varias palabras de referencia, denominada “barra inteligente“. Aprende a medida que la vas utilizando adaptándose a tus preferencias de búsqueda y ofreciendo mejores resultados con el trascurso del tiempo. Algo muy útil para mi, usuario que visita muchas Webs y que no suelo recordar muy bien las URLs.

A parte de muchas otras bondades, no puedo dejar de remarcar el rendimiento. Firefox 3 está diseñado sobre la nueva y potente plataforma Gecko 1.9. Además, ahora hace uso de mucha menos memoria mientras se está navegando por Internet ya sea con una o varias pestañas y, gracias a su nuevo diseño de visualización y su nuevo motor de presentación, consigue una velocidad de carga de dos a tres veces más en comparación a su hermano pequeño Firefox 2. Se acabó eso de tener la memoria saturada.

Y como no podía ser menos, recomiendo a todos aquellos usuarios que aún no tienen Firefox 3 y que navegan con Internet Explorer por miedo a lo “desconocido”, a instalar Firefox 3 simplemente para probarlo. Su instalación no implica borrar vuestro actual navegador, simplemente tener uno “más”. Probarlo probarlo!

Sergi Quiñoenro

Esta nueva funcionalidad denominada Linkscanner puede ser de gran ayuda para aquellos internautas poco experimentados, los cuales clican en enlaces, banners y/o imagenes atractivas a la vista, pero quizá no tan seguro como desearían. Desde mi punto de vista es una interesante herramienta, estoy cansado de ir a casa de familiares y amigos a restaurar/reparar/reinstalar software a causa de una navegación indebida.

Linkscanner realiza visitas y escanea el contenido de todos aquellos enlaces que estos motores devuelven aunque el usuario, finalmente, no clique en ninguno de ellos

Como todo en la vida, hay varias realidades. La anterior, la del usuario inexperto y la siguiente, el lado Webmaster.

Esta herramienta no está más que “inflando” estadísticas de visitas, haciendo creer a sus propietarios un aumento de “usuarios” irreal. Aunque no solo es éste el único agravio, sino todo lo que comporta la visita a una Web, consumo de cuotas de ancho de banda.

(Más info en inglés en The Register)

[...]Después de más de 34 meses de desarrollo y con miles de contribuciones, podemos anunciar que ya estamos listos. Es nuestra expectativa liberar Firefox 3 el próximo martes 17 de junio. Vístanse de gala y prepárense para la descarga de Firefox 3 – el mejor navegador.

Texto original en inglés

Desde la propia fundación, junto a miles de bloggers, están promoviendo el denominado movimiento del “Download Day” (El día de la descarga) con el objetivo de ser el software más descargado en 24 horas. Desde la home page muestran un mapa con los países más comprometidos en la causa, donde más de 36.000 españoles ya se han formalizado su apoyo.