Un discurso de venta para la seguridad - ¡genial! Lo sé, la seguridad a menudo es frustrante o incluso molesta. Pero todos trabajamos en tecnología y en algún momento, la seguridad siempre se convierte en un tema. Descubramos un fallo de seguridad del mundo real y lo que podemos aprender de él para prevenir tales incidentes. Va a ser divertido, lo prometo.
This talk has been presented at React Day Berlin 2023, check out the latest edition of this React Conference.
Hendrik habla principalmente sobre la seguridad web y cómo se pueden mejorar las prácticas de diseño de productos para evitar vulnerabilidades.
Hendrik descubrió que el código numérico de cinco dígitos usado para proteger las fotos era débil, permitiéndole acceder accidentalmente a fotos privadas de otros usuarios al generar y probar códigos aleatorios.
Hendrik sugiere implementar códigos más complejos, como un código numérico de seis dígitos o alfanuméricos, aplicar throttling para limitar peticiones desde una misma IP y bloquear el acceso a fotos más antiguas.
La empresa respondió implementando throttling y bloqueando el acceso a todas las fotos, mejorando así la seguridad del servicio.
Hendrik cree que cuestionar las decisiones de diseño puede prevenir vulnerabilidades y mejorar la seguridad, inspirando a otros a adoptar prácticas más seguras en el desarrollo de servicios web.
El mensaje principal es inspirar y educar sobre la importancia de tomar decisiones de diseño conscientes y seguras para evitar brechas de seguridad en servicios web.
Hola, mi nombre es Hendrik. Hoy, quiero hablar sobre la seguridad web. Accedí accidentalmente a contenido picante debido a una débil protección de código. Se utilizó un código numérico de cinco dígitos, lo que facilitó la generación de códigos. El throttling es un mecanismo importante para prevenir ataques, pero no se implementó.
Entonces, hola, mi nombre es Hendrik. Y antes de empezar, necesito decepcionarte un poco porque no voy a hablar sobre React hoy. Y aún peor, quiero hablar sobre la seguridad web. Así que espero que puedas disfrutar de mi charla.
Quiero contar una historia o compartir una historia contigo donde accidentalmente, y prometo accidentalmente, accedí a contenido bastante picante de fotos donde la gente mostraba juguetes sexuales o incluso consumía alcohol. ¿Qué ha pasado? Bueno, en octubre de 2022, visité una sala de escape con algunos amigos. Y después de la experiencia, un miembro del personal vino a nosotros e hizo una foto de grupo.
En nuestro caso, solo fue una aburrida foto de grupo. Y después de eso, nos dieron un pequeño pedazo de papel que parecía eso. Y en el pedazo de papel, estaba nuestro código generado aleatoriamente, así como la fecha de la experiencia, ¿verdad? La experiencia fue muy útil. Solo tenías que ir a la página web, ingresar tu código y boom, puedes encontrar las fotos puedes acceder fácilmente y prestarlas y compartirlas con tus amigos. Gran experiencia de usuario. ¿Qué podría salir mal aquí?
Bueno, es como quizás similar al gato, ¿verdad? Imagina que tienes una habitación y quieres proteger la habitación. Entonces la solución es, bueno, simplemente cierras la puerta y tu habitación está segura, ¿verdad? Hasta que el gato entiende cómo usar la manija de la puerta. Volviendo a mi historia, básicamente, yo era el gato y estaba jugando con la manija de la puerta para ver cómo funciona. Resulta que, en realidad, usaron un código bastante débil para proteger las fotos, ¿verdad? Era un código numérico de cinco dígitos, lo que significa que solo teníamos 90,000 códigos posibles por día. Y estoy bastante seguro de que cualquiera de ustedes podría escribir fácilmente un script para generar códigos. Y lo único que tienes que hacer es simplemente escribir otro script y enviar el formulario una y otra vez, y solo esperar encontrar un código real. Sí, tal vez eso es lo que hice. Y resulta que funciona. Y solo como una rápida comparación, puedes verlo aquí en la tabla. Si simplemente usas un código numérico de seis dígitos, ya aumentarías la complejidad a 900,000 códigos. Y para mí, siempre es como, piénsalo. Si te sentaras en nuestra reunión de diseño de productos, en algún momento tendrías que decidir, está bien, ¿qué tipo de código vamos a usar? Y eligieron uno numérico de cinco dígitos. Imagina si hubieran elegido el de seis dígitos o incluso incluido alfanumérico, habrían aumentado la complejidad bastante.
Entonces, incluso si tienes el código más fuerte del mundo, si me das suficiente computación, probablemente dinero y tiempo, todavía podría intentar encontrar códigos aleatorios. Por lo tanto, otro mecanismo que necesitamos es el throttling. El throttling significa que si recibes mucho tráfico proveniente de la misma dirección IP, probablemente en algún momento quieras limitar el tráfico o bloquear la dirección IP por completo. Y ese es un mecanismo bastante fuerte para prevenir ataques. ¿Y adivina qué? No implementaron ningún throttling.
No había puerta ni manija de la puerta, lo que hacía que la habitación fuera fácilmente accesible. Después de descubrir contenido sensible, compartí mis hallazgos con la empresa. Implementaron el throttling y bloquearon el acceso a las fotos, mejorando la seguridad. Sin embargo, todavía se necesita un código más fuerte. Ahora el tráfico debe provenir de diferentes direcciones IP y el acceso a las fotos está limitado a un marco de tiempo específico.
Básicamente, eso significa que no había puerta, no había manija de la puerta, básicamente la habitación estaba abierta y yo podía entrar sin ningún problema. Bueno, estaba aburrido un domingo y me di cuenta de que, oh, diablos, esto es realmente serio aquí. Y también mencioné que encontré contenido picante porque, eso es porque también tienen una experiencia de sala de escape de fiesta donde puedes tener algunos momentos íntimos privados con tus amigos. Y básicamente con el resto del mundo, ¿verdad? Así que pensé, está bien, necesito compartir mis hallazgos de alguna manera con la empresa. Y eso es lo que hice. Y un par de semanas después, reaccionaron. Al menos implementaron el throttling y también bloquearon el acceso a todas las fotos. Así que mejoraron un poco la security. Aún así, todavía sugeriría implementar un código más fuerte, pero al menos ahora es más difícil atacar el servicio porque ahora el tráfico tendría que provenir de diferentes direcciones IP. Y también solo puedes obtener acceso a las fotos de los últimos 14 días, 7 días, no sé el número exacto. Así que definitivamente lo mejoraron. Entonces, ¿por qué estoy aquí? Para mí, no es que quiera culpar a la empresa, ¿verdad? Todos cometemos errores. Y estoy bastante seguro de que en mis criterios, también implementé algunas cosas bastante malas. Así que no se trata de culpar. Se trata de aprender e inspirar a las personas. Y así quiero inspirar a cada uno de ustedes aquí para desafiar las decisiones de design. Así que imagina que estás en una reunión de diseño de producto, tienes que implementar un servicio de fotos o un servicio de compartición. Y solo me gustaría inspirarte para hacer preguntas críticas aquí, como estas que están en la diapositiva. Habría sido tan fácil prevenir un ataque simplemente implementando un código más fuerte, implementando el throttling, también bloqueando el acceso a fotos más antiguas, o incluso haciendo preguntas. Oye, ¿podemos simplemente comprar un producto SaaS para manejar las cosas aquí? ¿Tenemos que implementarlo nosotros mismos? O tal vez podemos reutilizar la dirección de correo electrónico de la reserva en línea para que ni siquiera necesitemos generar un código. Y sin mencionar, pusieron credenciales duras en un pedazo de papel. No sé si eso es realmente una buena solución. Así que solo quiero inspirar a cada uno de ustedes a desafiar las decisiones de design para que podamos todos trabajar en una web segura. Ese es mi tiempo. Esa es mi charla relámpago de hoy. Puedes encontrar todas mis redes sociales y también dirección de correo electrónico, si no te gustan las redes sociales, en mi sitio web. Les deseo a todos un gran resto de la conferencia y nos vemos tal vez más tarde en la fiesta.
We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career
Node Congress 2022
JSNation 2023
JSNation 2023
React Summit US 2023
React Advanced 2021
React Summit 2022
JSNation US 2024React Summit 2023JSNation 2024JSNation 2024JSNation 2022
DevOps.js Conf 2022
Comments