Cómo mejorar la seguridad de su aplicación web utilizando Mozilla Observatory

Rate this content
Bookmark

En el panorama digital de hoy, la seguridad de las aplicaciones web es de suma importancia para proteger los datos sensibles de los usuarios y mantener la confianza de estos. Mozilla Observatory es una herramienta poderosa que puede ayudar a los desarrolladores a evaluar la postura de seguridad de sus aplicaciones web. En esta charla aprenderemos cómo mejorar la seguridad de las aplicaciones web utilizando Mozilla Observatory.

This talk has been presented at React Day Berlin 2023, check out the latest edition of this React Conference.

FAQ

Mozilla Observatory es una herramienta que permite evaluar los encabezados de seguridad de tu aplicación web y el ranking de seguridad de tus sitios web. Puedes utilizarla para realizar escaneos, optar por no publicar los resultados en registros públicos y forzar nuevos escaneos si es necesario.

La Política de Seguridad de Contenido (CSP) es un encabezado que permite un control detallado sobre qué recursos del sitio se pueden cargar, ayudando a prevenir vulnerabilidades de scripting entre sitios. Su principal beneficio es deshabilitar el uso de JavaScript en línea inseguro.

La mejor manera de implementar CSP es comenzar con una política solo para informes, donde se reportarán las violaciones pero no se bloqueará la ejecución de JavaScript. Esto permite identificar y resolver las violaciones antes de implementar completamente la política.

Las cookies deben estar aseguradas usando la bandera segura, enviándose solo a través de HTTPS, y ser HTTP-only para bloquear el acceso por JavaScript de terceros. Además, es importante definir un período de vencimiento mínimo, especialmente para los identificadores de sesión.

HSTS (HTTP Strict Transport Security) es una política de seguridad que le dice al navegador que cargue los recursos solo a través de HTTPS. Es crucial habilitar la redirección de HTTP a HTTPS para mejorar la seguridad de las conexiones.

Puedes utilizar encabezados de referente para controlar el envío de información del referente. Las directivas incluyen no referente (elimina el referente de todas las solicitudes), mismo origen (envía la URL completa solo para solicitudes del mismo origen) y origen estricto (envía solo la parte del host).

La integridad de los sub-recursos asegura que el contenido de archivos de bibliotecas de JavaScript no sea alterado. Esto se logra generando un hash SHA para el recurso y verificando que coincida con el contenido durante la carga, protegiendo así contra modificaciones maliciosas.

xContentTypeOptions es un encabezado que le dice al navegador que no adivine el tipo de contenido de los recursos. Es crucial definirlo como 'nosniff' para prevenir ataques de XSS que pueden surgir cuando el navegador malinterpreta tipos MIME no especificados como ejecutables.

Karan Kiri
Karan Kiri
9 min
12 Dec, 2023

Comments

Sign in or register to post your comment.

Video Summary and Transcription

La charla discute cómo mejorar la seguridad de las aplicaciones web utilizando Mozilla Observatory. Cubre temas como la evaluación de los encabezados de seguridad, el mantenimiento del historial de calificaciones y la implementación de políticas de seguridad de contenido. Se enfatiza la importancia de asegurar las cookies y habilitar la redirección de HTTP a HTTPS. También se destacan el uso de encabezados de referencia para controlar el comportamiento del navegador y la integridad de los sub-recursos para evitar la comprometición de archivos.

1. Introducción a Mozilla Observatory

Short description:

Bienvenidos a React Day Berlin. Hoy hablaré sobre cómo mejorar la seguridad de las aplicaciones web utilizando Mozilla Observatory. Evalúa los encabezados de seguridad y el ranking. Vamos a Mozilla Observatory y veamos cómo se ve. Puedes omitir la publicación de resultados y forzar un nuevo escaneo. Da la puntuación Dplus y evalúa los encabezados de seguridad. Mantiene el historial de calificaciones. La política de seguridad de contenido permite un control detallado sobre los recursos cargados. Previene las vulnerabilidades de scripting entre sitios. Ten cuidado al implementarlo en sitios web existentes. Comienza con la política de seguridad de contenido solo para informes. Las cookies también son importantes.

Hola a todos. Bienvenidos a React Day Berlin. Mi nombre es Karan. Soy un desarrollador front-end en Fabric, que es una startup de e-commerce con sede en EE. UU. Hoy hablaré sobre cómo mejorar la security de tu aplicación web utilizando Mozilla Observatory. Mozilla Observatory es una herramienta que puedes usar para evaluar los encabezados de security de tu aplicación web y evaluar el ranking de security de tus sitios web. Aquí puedes ver todos los encabezados de security que Mozilla Observatory mide para tu aplicación y da la puntuación. Así que vamos a Mozilla Observatory y veamos cómo se ve. Este es el sitio aquí, hay tres opciones aquí. Puedes ver, puedes elegir omitir la publicación de tus resultados en los registros públicos de Mozilla. Mozilla en realidad guarda en caché tus resultados escaneados. Así que si quieres forzar un nuevo escaneo, puedes marcar esta casilla. Y si no quieres ejecutar ningún escáner de terceros puedes seleccionar este. Vamos a ingresar mi dominio y ver qué resultado nos da. Aquí puedes ver que ejecutará el Observatorio HTTP y me da la puntuación Dplus. Y aquí están todos los encabezados de security que ha evaluado. Y puedes ver el estado de aprobación y fallo y la puntuación de cada uno de los encabezados de security. Y la razón detrás de una puntuación particular también se muestra aquí. También mantiene el historial de calificaciones. Así que cada vez que hagas cualquier mejora en tu sitio web y vuelvas a escanear la puntuación, entonces podrás ver la puntuación mejorada de tu sitio web. Vamos a profundizar en cada uno de los encabezados de security y aprender más sobre cada uno de los encabezados de security. La política de security de contenido es un tema muy amplio. Así que solo hablaremos brevemente sobre ello. Básicamente, la política de security de contenido permite un control detallado sobre qué recursos de tu sitio se pueden cargar. Es la mejor manera de prevenir cualquier vulnerabilidad de scripting entre sitios, comúnmente conocida como ataques de acceso. El beneficio principal de CSP es que puedes deshabilitar el uso de JavaScript en línea inseguro, pero también tiene sus contras. Necesitas tener mucho cuidado al implementarlo en los sitios web existentes ya que puede romper las funcionalidades existentes. La mejor manera de implementar CSP es comenzar con la política de security de contenido solo para informes, que es un encabezado donde solo se informará de tus violaciones, pero no bloqueará ninguna ejecución de JavaScript. De esa manera puedes recopilar la información de todas las violaciones, solucionar eso primero, y realmente implementar la política de security de contenido.

2. Asegurando Cookies y Redirección

Short description:

Debe estar asegurado utilizando la bandera segura y enviado solo a través de HTTPS. Defina un período de vencimiento mínimo para las cookies del identificador de sesión. Configure correctamente el servidor para solicitudes de origen cercano. Habilite la redirección de HTTP a HTTPS.

Cookies, debes haber oído hablar de ellas. Deberían estar aseguradas usando la bandera segura, por lo que deberían enviarse solo a través de HTTPS. Necesita ser cookies HTTP solamente. Eso no requiere ningún acceso de JavaScript, por lo que puede ser bloqueado para el acceso por cualquier JavaScript de terceros también.

También necesitas definir el período de vencimiento. Debería ser lo más mínimo posible. En particular, el identificador de sesión que almacenamos en las cookies debería expirar muy rápidamente cuando ya no sean necesarios. También podemos usar el mismo conjunto de cookies para bloquear las cookies de ser enviadas a cualquier solicitud de origen cercano. Si eres un desarrollador front-end, debes haber encontrado errores de curso, por lo que es muy importante configurar tu servidor correctamente para cualquier solicitud de origen cercano. No debería permitir ningún otro dominio que no necesite esos recursos particulares, por lo que debería estar configurado correctamente. Tampoco debería permitir el acceso a ningún patrón comodín patterns.

HSTCS, comúnmente conocido como security de transporte estricto HTTP le dice al navegador que cargue los recursos solo a través de HTTPS, y la redirección también es muy importante. Necesitas habilitar la redirección de HTTP a HTTPS en tu aplicación web.

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Node Congress 2022Node Congress 2022
26 min
Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Top Content
The talk discusses the importance of supply chain security in the open source ecosystem, highlighting the risks of relying on open source code without proper code review. It explores the trend of supply chain attacks and the need for a new approach to detect and block malicious dependencies. The talk also introduces Socket, a tool that assesses the security of packages and provides automation and analysis to protect against malware and supply chain attacks. It emphasizes the need to prioritize security in software development and offers insights into potential solutions such as realms and Deno's command line flags.
El estado de la autenticación sin contraseña en la web
JSNation 2023JSNation 2023
30 min
El estado de la autenticación sin contraseña en la web
Passwords are terrible and easily hacked, with most people not using password managers. The credential management API and autocomplete attribute can improve user experience and security. Two-factor authentication enhances security but regresses user experience. Passkeys offer a seamless and secure login experience, but browser support may be limited. Recommendations include detecting Passkey support and offering fallbacks to passwords and two-factor authentication.
5 Formas en las que Podrías Haber Hackeado Node.js
JSNation 2023JSNation 2023
22 min
5 Formas en las que Podrías Haber Hackeado Node.js
Top Content
The Node.js security team is responsible for addressing vulnerabilities and receives reports through HackerOne. The Talk discusses various hacking techniques, including DLL injections and DNS rebinding attacks. It also highlights Node.js security vulnerabilities such as HTTP request smuggling and certification validation. The importance of using HTTP proxy tunneling and the experimental permission model in Node.js 20 is emphasized. NearForm, a company specializing in Node.js, offers services for scaling and improving security.
Política de Seguridad de Contenido con Next.js: Mejorando la Seguridad de tu Sitio Web
React Summit US 2023React Summit US 2023
9 min
Política de Seguridad de Contenido con Next.js: Mejorando la Seguridad de tu Sitio Web
Top Content
Lucas Estevão, a Principal UI Engineer and Technical Manager at Avenue Code, discusses how to implement Content Security Policy (CSP) with Next.js to enhance website security. He explains that CSP is a security layer that protects against cross-site scripting and data injection attacks by restricting browser functionality. The talk covers adding CSP to an XJS application using meta tags or headers, and demonstrates the use of the 'nonce' attribute for allowing inline scripts securely. Estevão also highlights the importance of using content security reports to identify and improve application security.
Permíteme mostrarte cómo las aplicaciones de React son hackeadas en el mundo real
React Advanced Conference 2021React Advanced Conference 2021
22 min
Permíteme mostrarte cómo las aplicaciones de React son hackeadas en el mundo real
Top Content
React's default security against XSS vulnerabilities, exploring and fixing XSS vulnerabilities in React, exploring control characters and security issues, exploring an alternative solution for JSON parsing, and exploring JSON input and third-party dependencies.
Cómo los Aplicaciones de React son Hackeadas en el Mundo Real
React Summit 2022React Summit 2022
7 min
Cómo los Aplicaciones de React son Hackeadas en el Mundo Real
How to hack a RealWorld live React application in seven minutes. Tips, best practices, and pitfalls when writing React code. XSS and cross-site scripting in React. React's secure by default, but not always. The first thing to discover: adding a link to a React application. React code vulnerability: cross-site scripting with Twitter link. React doesn't sanitize or output H ref attributes. Fix attempts: detect JavaScript, use dummy hashtag, transition to lowercase. Control corrector exploit. Best practices: avoid denialist approach, sanitize user inputs. React's lack of sanitization and output encoding for user inputs. Exploring XSS vulnerabilities and the need to pretty print JSON. The React JSON pretty package and its potential XSS risks. The importance of context encoding and secure coding practices.

Workshops on related topic

De 0 a Autenticación en una hora con ReactJS
React Summit 2023React Summit 2023
56 min
De 0 a Autenticación en una hora con ReactJS
WorkshopFree
Kevin Gao
Kevin Gao
La autenticación sin contraseña puede parecer compleja, pero es simple de agregar a cualquier aplicación utilizando la herramienta adecuada. Hay múltiples alternativas que son mucho mejores que las contraseñas para identificar y autenticar a tus usuarios, incluyendo SSO, SAML, OAuth, Magic Links, One-Time Passwords y Authenticator Apps.
Mientras abordamos los aspectos de seguridad y evitamos errores comunes, mejoraremos una aplicación JS de pila completa (backend Node.js + frontend React) para autenticar a los usuarios con OAuth (inicio de sesión social) y One Time Passwords (correo electrónico), incluyendo:- Autenticación de usuarios - Gestión de interacciones de usuarios, devolviendo JWTs de sesión / actualización- Gestión y validación de sesiones - Almacenamiento seguro de la sesión para solicitudes de cliente posteriores, validación / actualización de sesiones- Autorización básica - extracción y validación de reclamaciones del token JWT de sesión y manejo de autorización en flujos del backend
Al final del masterclass, también exploraremos otros enfoques de implementación de autenticación con Descope, utilizando SDKs de frontend o backend.
Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js
JSNation 2024JSNation 2024
97 min
Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js
Workshop
Marco Ippolito
Marco Ippolito
En este masterclass, cubriremos las diez vulnerabilidades más comunes y riesgos de seguridad críticos identificados por OWASP, que es una autoridad confiable en Seguridad de Aplicaciones Web.Durante el masterclass, aprenderás cómo prevenir estas vulnerabilidades y desarrollar la capacidad de reconocerlas en aplicaciones web.El masterclass incluye 10 desafíos de código que representan cada una de las vulnerabilidades más comunes de OWASP. Se proporcionarán pistas para ayudar a resolver las vulnerabilidades y pasar las pruebas.El instructor también proporcionará explicaciones detalladas, diapositivas y ejemplos de la vida real en Node.js para ayudar a comprender mejor los problemas. Además, obtendrás información de un Mantenedor de Node.js que compartirá cómo gestionan la seguridad en un proyecto grande.Es adecuado para desarrolladores de Node.js de todos los niveles de habilidad, desde principiantes hasta expertos, se requiere un conocimiento general de aplicaciones web y JavaScript.
Tabla de contenidos:- Control de Acceso Roto- Fallas Criptográficas- Inyección- Diseño Inseguro- Configuración de Seguridad Incorrecta- Componentes Vulnerables y Obsoletos- Fallas de Identificación y Autenticación- Fallas de Integridad de Software y Datos- Fallas de Registro y Monitoreo de Seguridad- Falsificación de Solicitudes del Lado del Servidor
Encontrar, Hackear y solucionar las vulnerabilidades de NodeJS con Snyk
JSNation 2022JSNation 2022
99 min
Encontrar, Hackear y solucionar las vulnerabilidades de NodeJS con Snyk
WorkshopFree
Matthew Salmon
Matthew Salmon
npm y seguridad, ¿cuánto sabes sobre tus dependencias?Hack-along, hacking en vivo de una aplicación Node vulnerable https://github.com/snyk-labs/nodejs-goof, Vulnerabilidades tanto de código abierto como de código escrito. Se anima a descargar la aplicación y hackear junto con nosotros.Corrigiendo los problemas y una introducción a Snyk con una demostración.Preguntas abiertas.
Aporta Calidad y Seguridad al pipeline de CI/CD
DevOps.js Conf 2022DevOps.js Conf 2022
76 min
Aporta Calidad y Seguridad al pipeline de CI/CD
WorkshopFree
Elena Vilchik
Elena Vilchik
En esta masterclass repasaremos todos los aspectos y etapas al integrar tu proyecto en el ecosistema de Calidad y Seguridad del Código. Tomaremos una aplicación web simple como punto de partida y crearemos un pipeline de CI que active el monitoreo de calidad del código. Realizaremos un ciclo completo de desarrollo, comenzando desde la codificación en el IDE y abriendo una Pull Request, y te mostraré cómo puedes controlar la calidad en esas etapas. Al final de la masterclass, estarás listo para habilitar esta integración en tus propios proyectos.
Autenticación sin contraseña para servidores: práctica con ASA
DevOps.js Conf 2022DevOps.js Conf 2022
32 min
Autenticación sin contraseña para servidores: práctica con ASA
WorkshopFree
E. Dunham
E. Dunham
Hoy en día, no necesitas una contraseña separada para cada sitio web en el que inicias sesión. Sin embargo, gracias a la deuda tecnológica y la tradición, muchos profesionales de DevOps todavía tienen que lidiar con una gran cantidad de claves SSH para acceder a los servidores en los que a veces necesitamos estar. Con OAuth moderno, un solo inicio de sesión y un segundo factor para demostrar tu identidad son suficientes para acceder de forma segura a todos los servicios a los que tienes autorización. ¿Y si SSHing en servidores fuera tan fácil? En este masterclass, utilizaremos la herramienta de Acceso Avanzado a Servidores de Okta (anteriormente ScaleFT) para experimentar una forma en que el sueño de enviar claves SSH como la contraseña se ha hecho realidad.
- discutiremos cómo funciona ASA y cuándo es la herramienta adecuada para el trabajo- guiaremos el proceso de configuración de una cuenta de prueba gratuita de Okta para usar ASA, y la configuración de la puerta de enlace ASA y el servidor en servidores Linux- luego nos conectaremos por SSH a nuestros hosts con los clientes ASA sin necesidad de proporcionar una clave SSH desde nuestras laptops- revisaremos los registros de auditoría de nuestras sesiones SSH para examinar qué comandos se ejecutaron