Aplicaciones Vue y Nuxt más seguras - Por defecto

Rate this content
Bookmark

Como desarrolladores, generalmente tenemos que desarrollar rápido y debido a eso, algunos aspectos de calidad del software como el rendimiento, la accesibilidad o la seguridad pueden verse afectados. Configurar aplicaciones web para protegerlas contra amenazas comunes y hackers es difícil. Y por eso, puedes usar Nuxt Security -> un módulo para Nuxt que te ayudará a construir aplicaciones más seguras sin necesidad de configuración adicional.

En esta charla, te guiaré a través de los conceptos de seguridad en las aplicaciones web modernas y OWASP para ayudarte a construir aplicaciones Vue y Nuxt más seguras.

This talk has been presented at Vue.js Live 2024, check out the latest edition of this JavaScript Conference.

Jakub Andrzejewski
Jakub Andrzejewski
21 min
25 Apr, 2024

Comments

Sign in or register to post your comment.

Video Summary and Transcription

Manejar la seguridad en el desarrollo de frontend es crucial, y el OWASP Top 10 es un recurso valioso para la codificación segura. La lista de riesgos de seguridad está en constante evolución, y el módulo de seguridad de Nuxt proporciona características como encabezados de seguridad, limitación de velocidad y protección contra falsificación de solicitudes entre sitios. Los desarrolladores de frontend deben priorizar la seguridad para evitar filtraciones de información y mitigar riesgos. Comprender la diferencia entre tokens públicos y privados es importante para el manejo seguro de tokens.

1. Introducción a las aplicaciones seguras de Next

Short description:

Tradicionalmente, se considera que la seguridad es responsabilidad de los desarrolladores de back-end o ingenieros de DevOps. Sin embargo, con más funcionalidad moviéndose al front-end, es importante que todos prioricen la seguridad. En esta presentación, hablaré sobre las aplicaciones más seguras de Next de forma predeterminada y crearé conciencia sobre los riesgos de seguridad en las aplicaciones web modernas. Un recurso crucial es el OWASP Top 10, un documento que destaca los riesgos de seguridad más críticos. Se reconoce como el primer paso hacia una codificación más segura. La lista de riesgos de seguridad está en constante evolución, como se ve en el sitio web de OWASP Top 10.

o ingenieros de DevOps. Pero hoy en día, cada vez más funcionalidad se está trasladando al front-end. Y es por eso que creo que todos deberían preocuparse por la seguridad. Y también es por eso que he seleccionado este tema para mi presentación de hoy, que son las aplicaciones más seguras de Next de forma predeterminada. Mi nombre es Jakub y trabajo en Allokai como desarrollador senior y defensor. Además de eso, también soy un experto desarrollador de Google en performance web. Soy parte del equipo de Next y también soy embajador de Algolia, Storyblok, Cloudinary y SuperBase. Así que, después de esta presentación, serán unos ninjas de la seguridad. Suena genial, ¿verdad? Pero la realidad es que no es posible. No es posible transferirles todo el conocimiento de seguridad que es necesario para construir aplicaciones seguras desde cero. Entonces, mi idea es hacerlos más conscientes de los riesgos y problemas que pueden aparecer en las aplicaciones web modernas. Porque creo que si están conscientes de estos problemas, podrán proteger su aplicación contra ellos.

Para eso, les recomendaría que se familiaricen con el concepto de OWASP y específicamente OWASP Top 10. OWASP es un documento de concientización estándar tanto para desarrolladores como para seguridad web, especialistas en seguridad de aplicaciones web, y representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web. Y como pueden ver, marqué dos lugares aquí. Uno es el documento de concientización estándar, lo que básicamente significa que este OWASP Top 10 es un documento. Y el segundo, riesgos de seguridad. Entonces, es un documento que les mostrará los riesgos de seguridad más populares. OWASP Top 10 también es reconocido por los desarrolladores como el primer paso hacia una codificación más segura. Esta vez también, marcado con color verde, primer paso. Entonces, no deberían considerar OWASP Top 10 como la única solución para hacer que su aplicación sea más segura. Más bien es un primer paso. Como un primer paso sólido. Entonces, si miran el sitio web de OWASP Top 10, verán básicamente esto. Y si nos acercamos un poco, veremos esta lista de los riesgos de seguridad más populares que pueden aparecer en su aplicación web. Y como pueden ver en el

2. Resumen de los riesgos de seguridad

Short description:

La lista de riesgos de seguridad está en constante evolución, ya que surgen nuevos problemas y riesgos. El sitio web de OWASP proporciona una gran cantidad de conocimientos, incluyendo listas de verificación y hojas de trucos para diferentes tipos de aplicaciones. Nos centraremos en algunos riesgos seleccionados, como la ejecución de código en sitios cruzados e inyecciones SQL. El control de acceso roto puede permitir el acceso no autorizado a datos sensibles. Los ataques de denegación de servicio (DOS) y de denegación de servicio distribuido (DDoS) pueden abrumar el servidor de una aplicación, haciendo que no responda. Además, los paquetes maliciosos de NPM y la confusión de dependencias representan una amenaza significativa para las aplicaciones web.

En el lado izquierdo, tenemos 2017, y en el lado derecho, está 2021. Y pueden ver que la lista, tanto el orden como los elementos de la lista, están cambiando. Lo que significa que esta lista está en constante evolución. Todo el tiempo. Porque están apareciendo nuevos problemas o nuevos riesgos y tenemos que hacer que nuestras aplicaciones sean cada vez más seguras en función de los entornos cambiantes. Y también hay un recurso grande, muy grande de conocimiento en términos de hacer que su aplicación sea más segura en el sitio web de OWASP, que básicamente es una lista de listas de verificación, como hojas de trucos, que pueden revisar para ver si su aplicación es segura en un área determinada. Entonces, por ejemplo, tenemos una hoja de trucos para aplicaciones REST, aplicaciones GraphQL, aplicaciones construidas con Ruby, y así sucesivamente.

Entonces, echemos un vistazo a algunos de estos riesgos de seguridad. No vamos a ver todos ellos, nos centraremos solo en algunos seleccionados. Así que, en primer lugar, tenemos las inyecciones. Y los dos principales ataques aquí, o riesgos, son la ejecución de código en sitios cruzados e inyecciones SQL. Y en términos de inyecciones SQL, podrían pensar que esta es una vulnerabilidad muy antigua y que ya no aparece, pero se sorprenderían de cuántos sitios web en producción todavía tienen este tipo de vulnerabilidad. Entonces, en ambos casos, la idea es que el atacante inyecta algún tipo de código malicioso ya sea en SQL, en nuestra base de datos, o en las aplicaciones a través de JavaScript, por ejemplo, y luego este código malicioso básicamente obtiene los datos a los que no debería tener acceso, como usuarios, contraseñas, cosas así. Yendo más allá, tenemos el control de acceso roto. El control de acceso significa que nuestra aplicación permitirá obtener ciertos datos si estamos debidamente autorizados. Entonces, por ejemplo, si estamos conectados o somos parte de una organización o grupo que tiene acceso a cierto recurso. Entonces, el control de acceso roto significa que el atacante puede tener acceso a los datos que básicamente no debería tener. Y mi favorito, que es DOS o DDoS, que significa denegación de servicio, significa que nuestra aplicación se ejecuta en un servidor que solo puede manejar una cierta cantidad de solicitudes. Entonces, si el atacante logra enviar demasiadas solicitudes, nuestra aplicación no podrá responder a estas solicitudes y básicamente se rendirá. Entonces, tenemos DOS, que es la denegación de servicio, y DDoS, que es como la denegación de servicio distribuida, que es el enrutamiento se distribuye entre muchos dispositivos zombi llamados así. Pueden ser teléfonos móviles, pueden ser dispositivos de escritorio, y así sucesivamente. Y tengo un caso interesante adicional, que se llama paquetes maliciosos de NPM y confusión de dependencias. Esto puede sucederle a cualquier persona que esté construyendo aplicaciones web en la actualidad. Entonces, cómo funciona es básicamente que tenemos un usuario que se supone que debe obtener un paquete que está almacenado en un registro privado, como un registro privado de NPM. Podría ser otra cosa. La idea es que este registro es privado y solo los usuarios autorizados deberían tener acceso a él, deberían poder obtener este paquete. Entonces, lo que hace el usuario en cambio, de manera involuntaria, es obtener el paquete con el mismo nombre, pero desde el registro público, como el público de NPM. Y este paquete puede contener un código malicioso. Y este es un caso real. Y esto, desafortunadamente,

QnA

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Una Guía del Comportamiento de Renderizado de React
React Advanced Conference 2022React Advanced Conference 2022
25 min
Una Guía del Comportamiento de Renderizado de React
Top Content
This transcription provides a brief guide to React rendering behavior. It explains the process of rendering, comparing new and old elements, and the importance of pure rendering without side effects. It also covers topics such as batching and double rendering, optimizing rendering and using context and Redux in React. Overall, it offers valuable insights for developers looking to understand and optimize React rendering.
Acelerando tu aplicación React con menos JavaScript
React Summit 2023React Summit 2023
32 min
Acelerando tu aplicación React con menos JavaScript
Top Content
Mishko, the creator of Angular and AngularJS, discusses the challenges of website performance and JavaScript hydration. He explains the differences between client-side and server-side rendering and introduces Quik as a solution for efficient component hydration. Mishko demonstrates examples of state management and intercommunication using Quik. He highlights the performance benefits of using Quik with React and emphasizes the importance of reducing JavaScript size for better performance. Finally, he mentions the use of QUIC in both MPA and SPA applications for improved startup performance.
Concurrencia en React, Explicada
React Summit 2023React Summit 2023
23 min
Concurrencia en React, Explicada
Top Content
React 18's concurrent rendering, specifically the useTransition hook, optimizes app performance by allowing non-urgent updates to be processed without freezing the UI. However, there are drawbacks such as longer processing time for non-urgent updates and increased CPU usage. The useTransition hook works similarly to throttling or bouncing, making it useful for addressing performance issues caused by multiple small components. Libraries like React Query may require the use of alternative APIs to handle urgent and non-urgent updates effectively.
El Futuro de las Herramientas de Rendimiento
JSNation 2022JSNation 2022
21 min
El Futuro de las Herramientas de Rendimiento
Top Content
Today's Talk discusses the future of performance tooling, focusing on user-centric, actionable, and contextual approaches. The introduction highlights Adi Osmani's expertise in performance tools and his passion for DevTools features. The Talk explores the integration of user flows into DevTools and Lighthouse, enabling performance measurement and optimization. It also showcases the import/export feature for user flows and the collaboration potential with Lighthouse. The Talk further delves into the use of flows with other tools like web page test and Cypress, offering cross-browser testing capabilities. The actionable aspect emphasizes the importance of metrics like Interaction to Next Paint and Total Blocking Time, as well as the improvements in Lighthouse and performance debugging tools. Lastly, the Talk emphasizes the iterative nature of performance improvement and the user-centric, actionable, and contextual future of performance tooling.
Optimización de juegos HTML5: 10 años de aprendizaje
JS GameDev Summit 2022JS GameDev Summit 2022
33 min
Optimización de juegos HTML5: 10 años de aprendizaje
Top Content
PlayCanvas is an open-source game engine used by game developers worldwide. Optimization is crucial for HTML5 games, focusing on load times and frame rate. Texture and mesh optimization can significantly reduce download sizes. GLTF and GLB formats offer smaller file sizes and faster parsing times. Compressing game resources and using efficient file formats can improve load times. Framerate optimization and resolution scaling are important for better performance. Managing draw calls and using batching techniques can optimize performance. Browser DevTools, such as Chrome and Firefox, are useful for debugging and profiling. Detecting device performance and optimizing based on specific devices can improve game performance. Apple is making progress with WebGPU implementation. HTML5 games can be shipped to the App Store using Cordova.
Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Node Congress 2022Node Congress 2022
26 min
Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Top Content
The talk discusses the importance of supply chain security in the open source ecosystem, highlighting the risks of relying on open source code without proper code review. It explores the trend of supply chain attacks and the need for a new approach to detect and block malicious dependencies. The talk also introduces Socket, a tool that assesses the security of packages and provides automation and analysis to protect against malware and supply chain attacks. It emphasizes the need to prioritize security in software development and offers insights into potential solutions such as realms and Deno's command line flags.

Workshops on related topic

Masterclass de Depuración de Rendimiento de React
React Summit 2023React Summit 2023
170 min
Masterclass de Depuración de Rendimiento de React
Top Content
Featured WorkshopFree
Ivan Akulov
Ivan Akulov
Los primeros intentos de Ivan en la depuración de rendimiento fueron caóticos. Vería una interacción lenta, intentaría una optimización aleatoria, vería que no ayudaba, y seguiría intentando otras optimizaciones hasta que encontraba la correcta (o se rendía).
En aquel entonces, Ivan no sabía cómo usar bien las herramientas de rendimiento. Haría una grabación en Chrome DevTools o React Profiler, la examinaría, intentaría hacer clic en cosas aleatorias, y luego la cerraría frustrado unos minutos después. Ahora, Ivan sabe exactamente dónde y qué buscar. Y en esta masterclass, Ivan te enseñará eso también.
Así es como va a funcionar. Tomaremos una aplicación lenta → la depuraremos (usando herramientas como Chrome DevTools, React Profiler, y why-did-you-render) → identificaremos el cuello de botella → y luego repetiremos, varias veces más. No hablaremos de las soluciones (en el 90% de los casos, es simplemente el viejo y regular useMemo() o memo()). Pero hablaremos de todo lo que viene antes - y aprenderemos a analizar cualquier problema de rendimiento de React, paso a paso.
(Nota: Esta masterclass es más adecuada para ingenieros que ya están familiarizados con cómo funcionan useMemo() y memo() - pero quieren mejorar en el uso de las herramientas de rendimiento alrededor de React. Además, estaremos cubriendo el rendimiento de la interacción, no la velocidad de carga, por lo que no escucharás una palabra sobre Lighthouse 🤐)
Construyendo aplicaciones web que iluminan Internet con QwikCity
JSNation 2023JSNation 2023
170 min
Construyendo aplicaciones web que iluminan Internet con QwikCity
Featured WorkshopFree
Miško Hevery
Miško Hevery
Construir aplicaciones web instantáneas a gran escala ha sido elusivo. Los sitios del mundo real necesitan seguimiento, análisis y interfaces y interacciones de usuario complejas. Siempre comenzamos con las mejores intenciones pero terminamos con un sitio menos que ideal.
QwikCity es un nuevo meta-framework que te permite construir aplicaciones a gran escala con un rendimiento de inicio constante. Veremos cómo construir una aplicación QwikCity y qué la hace única. El masterclass te mostrará cómo configurar un proyecto QwikCity. Cómo funciona el enrutamiento con el diseño. La aplicación de demostración obtendrá datos y los presentará al usuario en un formulario editable. Y finalmente, cómo se puede utilizar la autenticación. Todas las partes básicas para cualquier aplicación a gran escala.
En el camino, también veremos qué hace que Qwik sea único y cómo la capacidad de reanudación permite un rendimiento de inicio constante sin importar la complejidad de la aplicación.
Next.js 13: Estrategias de Obtención de Datos
React Day Berlin 2022React Day Berlin 2022
53 min
Next.js 13: Estrategias de Obtención de Datos
Top Content
WorkshopFree
Alice De Mauro
Alice De Mauro
- Introducción- Prerrequisitos para la masterclass- Estrategias de obtención: fundamentos- Estrategias de obtención – práctica: API de obtención, caché (estática VS dinámica), revalidar, suspense (obtención de datos en paralelo)- Prueba tu construcción y sírvela en Vercel- Futuro: Componentes de servidor VS Componentes de cliente- Huevo de pascua de la masterclass (no relacionado con el tema, destacando la accesibilidad)- Conclusión
De 0 a Autenticación en una hora con ReactJS
React Summit 2023React Summit 2023
56 min
De 0 a Autenticación en una hora con ReactJS
WorkshopFree
Kevin Gao
Kevin Gao
La autenticación sin contraseña puede parecer compleja, pero es simple de agregar a cualquier aplicación utilizando la herramienta adecuada. Hay múltiples alternativas que son mucho mejores que las contraseñas para identificar y autenticar a tus usuarios, incluyendo SSO, SAML, OAuth, Magic Links, One-Time Passwords y Authenticator Apps.
Mientras abordamos los aspectos de seguridad y evitamos errores comunes, mejoraremos una aplicación JS de pila completa (backend Node.js + frontend React) para autenticar a los usuarios con OAuth (inicio de sesión social) y One Time Passwords (correo electrónico), incluyendo:- Autenticación de usuarios - Gestión de interacciones de usuarios, devolviendo JWTs de sesión / actualización- Gestión y validación de sesiones - Almacenamiento seguro de la sesión para solicitudes de cliente posteriores, validación / actualización de sesiones- Autorización básica - extracción y validación de reclamaciones del token JWT de sesión y manejo de autorización en flujos del backend
Al final del masterclass, también exploraremos otros enfoques de implementación de autenticación con Descope, utilizando SDKs de frontend o backend.
Depuración del Rendimiento de React
React Advanced Conference 2023React Advanced Conference 2023
148 min
Depuración del Rendimiento de React
Workshop
Ivan Akulov
Ivan Akulov
Los primeros intentos de Ivan en la depuración de rendimiento fueron caóticos. Veía una interacción lenta, probaba una optimización aleatoria, veía que no ayudaba, y seguía probando otras optimizaciones hasta que encontraba la correcta (o se rendía).
En aquel entonces, Ivan no sabía cómo usar bien las herramientas de rendimiento. Hacía una grabación en Chrome DevTools o React Profiler, la examinaba, intentaba hacer clic en cosas al azar, y luego la cerraba frustrado unos minutos después. Ahora, Ivan sabe exactamente dónde y qué buscar. Y en esta masterclass, Ivan te enseñará eso también.
Así es como va a funcionar. Tomaremos una aplicación lenta → la depuraremos (usando herramientas como Chrome DevTools, React Profiler, y why-did-you-render) → identificaremos el cuello de botella → y luego repetiremos, varias veces más. No hablaremos de las soluciones (en el 90% de los casos, es simplemente el viejo y regular useMemo() o memo()). Pero hablaremos de todo lo que viene antes - y aprenderemos cómo analizar cualquier problema de rendimiento de React, paso a paso.
(Nota: Esta masterclass es más adecuada para ingenieros que ya están familiarizados con cómo funcionan useMemo() y memo() - pero quieren mejorar en el uso de las herramientas de rendimiento alrededor de React. Además, cubriremos el rendimiento de interacción, no la velocidad de carga, por lo que no escucharás una palabra sobre Lighthouse 🤐)
Accesibilidad web para Ninjas: Un enfoque práctico para crear aplicaciones web accesibles
React Summit 2023React Summit 2023
109 min
Accesibilidad web para Ninjas: Un enfoque práctico para crear aplicaciones web accesibles
Workshop
Asaf Shochet Avida
Eitan Noy
2 authors
En este masterclass práctico, te proporcionaremos las herramientas y técnicas que necesitas para crear aplicaciones web accesibles. Exploraremos los principios del diseño inclusivo y aprenderemos cómo probar nuestros sitios web utilizando tecnología de asistencia para asegurarnos de que funcionen para todos.
Cubriremos temas como el marcado semántico, los roles de ARIA, los formularios y la navegación accesibles, y luego nos sumergiremos en ejercicios de codificación donde podrás aplicar lo que has aprendido. Utilizaremos herramientas de prueba automatizadas para validar nuestro trabajo y asegurarnos de cumplir con los estándares de accesibilidad.
Al final de este masterclass, estarás equipado con el conocimiento y las habilidades para crear sitios web accesibles que funcionen para todos, y tendrás experiencia práctica utilizando las últimas técnicas y herramientas para el diseño inclusivo y las pruebas. ¡Únete a nosotros en este increíble masterclass de codificación y conviértete en un ninja de la accesibilidad web y el diseño inclusivo!