Web Fortificado: Mejores Prácticas para la Seguridad de Aplicaciones Web

Rate this content
Bookmark

En el mundo actual, es crucial priorizar la seguridad de tu aplicación. Todos los datos almacenados en ella deben mantenerse seguros y protegidos, al igual que los habitantes de una fortaleza que dependen de altos muros para su defensa. Sin embargo, la historia y las películas han demostrado que incluso los muros más robustos no pueden resistir un ataque si se pueden explotar puntos débiles. Esto también es cierto para las aplicaciones VueJS.


Únete a mí para una sesión concisa y práctica sobre cómo fortificar tus aplicaciones Vue.js contra amenazas de seguridad e implementar mejores prácticas.

This talk has been presented at JSNation 2024, check out the latest edition of this JavaScript Conference.

Ramona Schwering
Ramona Schwering
22 min
17 Jun, 2024

Comments

Sign in or register to post your comment.

Video Summary and Transcription

Esta charla, titulada 'Fortificar o Ser Fortificado', discute el concepto de tratar tu aplicación como una fortaleza para protegerla de amenazas externas. Destaca la importancia de la seguridad de las aplicaciones web y los riesgos asociados con el control de acceso roto, la inyección y los valores criptográficos. La charla también enfatiza la necesidad de aplicar mejores prácticas y utilizar las características de seguridad de los frameworks. Además, aborda las preocupaciones de seguridad relacionadas con las URL proporcionadas por el usuario, la inyección de estilos y la inyección de JavaScript. El resumen concluye enfatizando la importancia de mantener las dependencias actualizadas y seguir las mejores prácticas para garantizar la seguridad del proyecto.

1. Introducción a la Seguridad Web y Fortalezas

Short description:

Hola a todos. Estoy muy contenta de estar aquí en JS Nation este año y hablar sobre seguridad web y cómo mantener tu aplicación como una fortaleza. Mi nombre es Ramona Schwering, una defensora del desarrollo en Auth0 y una Experta en Desarrollo Web reconocida por Google. Esta charla se llama Fortificar o Fortaleza de la Aplicación. Intenta ver tu aplicación como una fortaleza. Vamos a explorar el concepto de fortalezas a través de películas, como El Señor de los Anillos, donde una fortaleza llamada Helms Deep sirve como refugio. Sin embargo, incluso con una advertencia de nunca haber sido conquistada, se explotó un punto débil.

Estoy muy contenta de estar aquí en JS Nation este año y hablar sobre un tema que me apasiona mucho. Es la seguridad web y cómo mantenernos seguros en el mundo de los enemigos peligrosos, atacantes, lo que quieras llamarles, porque hay muchos peligros en la web. Y sí, quiero mostrarte cómo mantener tu aplicación como una fortaleza. Pero antes de eso, rápidamente, mi nombre es Ramona, Ramona Schwering. Trabajo como defensora del desarrollo en Auth0. Y además de eso, soy una Experta en Desarrollo Web reconocida por Google y una Embajadora de Cypress. Es posible que ya me hayas conocido antes hablando sobre testing, pero hay más y otros temas realmente importantes de los que hablar, y esta vez es la seguridad.

Ok, esta charla se llama Fortificar o Fortaleza de la Aplicación. Intenta ver tu aplicación como una fortaleza. Y si piensas en las fortalezas, ¿qué hacen normalmente? Bueno, incluso si es como un edificio que ves en el entorno, si viajas o en películas, protegen algo valioso. Y sí, las películas son realmente el lugar donde he visto muchas fortalezas. Y esta pequeña pantalla aquí ha sido tomada de una película que realmente disfruto. Se llama El Señor de los Anillos. Es posible que hayas oído hablar de ella. Se trata de un viaje de un hobbit que necesita destruir un anillo en particular. Y es una trilogía. Así que hay tres películas, y especialmente la segunda parte, la disfruté mucho, ya sea el libro o la película, como la que se llama Las Dos Torres. Y hay una fortaleza llamada Helms Deep en ella. Y está destinada a ser un refugio. Así que está destinada a proteger a todo Ulthuan, que son las personas de Rohan, como una región o país en el sentido más amplio, creo. Deben ser protegidos del asalto de las fuerzas de Zaruman. Y tenían una advertencia de que nunca fue conquistada. Bueno, nunca conquistada, 100% seguridad. Supongo que lo hemos escuchado antes en algún momento, ¿verdad? Bueno, volviendo a la fortaleza. Puedes adivinar, no resultó ser cierto. Al menos una parte de la fortaleza no resistió. Y por supuesto, como es en las películas, es casi un cliché. Es nuevamente el Kilmaryr el Mar, que era un punto débil. Hola, Devstar? Era lo mismo que eso

2. La Importancia de Proteger tu Aplicación

Short description:

No hay fortaleza que sea segura todo el tiempo. La protección de tu aplicación puede considerarse como una fortaleza, donde quieres proteger todo lo que hay dentro contra amenazas externas. Siempre debemos ser escépticos y extremadamente cuidadosos.

también. Así que tienen un punto débil. Y si consideramos los libros, ni siquiera lo necesitaban, ya que había un desagüe por donde pasar. Y esto hizo que básicamente la gran primera pared fuera destruida. Y casi fueron abrumados. Así que sí, no hay fortaleza que sea segura todo el tiempo. ¿Por qué te digo esto? Porque la protección de tu aplicación puede considerarse como una fortaleza, donde quieres proteger todo lo que hay dentro contra amenazas externas. Ya sea data, ya sea las características que te gustaría tener para usuarios de pago o cualquier cosa valiosa. Y hay muchas cosas valiosas dentro de una aplicación web, ¿verdad? Así que sí, debemos considerar nuestra aplicación como una fortaleza.

Y no importa si estamos en El Señor de los Anillos, ya sea en la película o en los medios, el mundo está cambiando mucho. Aparecen más vulnerabilidades. Así que siempre debemos ser escépticos. Como Theodin. Si decimos que una fortaleza o una aplicación nunca ha sido conquistada o atacada o hackeada, debemos ser escépticos y extremadamente cuidadosos. Incluso si lo fue

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Construyendo Mejores Sitios Web con Remix
React Summit Remote Edition 2021React Summit Remote Edition 2021
33 min
Construyendo Mejores Sitios Web con Remix
Top Content
Remix is a web framework built on React Router that focuses on web fundamentals, accessibility, performance, and flexibility. It delivers real HTML and SEO benefits, and allows for automatic updating of meta tags and styles. It provides features like login functionality, session management, and error handling. Remix is a server-rendered framework that can enhance sites with JavaScript but doesn't require it for basic functionality. It aims to create quality HTML-driven documents and is flexible for use with different web technologies and stacks.
Acelerando tu aplicación React con menos JavaScript
React Summit 2023React Summit 2023
32 min
Acelerando tu aplicación React con menos JavaScript
Top Content
Mishko, the creator of Angular and AngularJS, discusses the challenges of website performance and JavaScript hydration. He explains the differences between client-side and server-side rendering and introduces Quik as a solution for efficient component hydration. Mishko demonstrates examples of state management and intercommunication using Quik. He highlights the performance benefits of using Quik with React and emphasizes the importance of reducing JavaScript size for better performance. Finally, he mentions the use of QUIC in both MPA and SPA applications for improved startup performance.
Documentación Full Stack
JSNation 2022JSNation 2022
28 min
Documentación Full Stack
Top Content
The Talk discusses the shift to full-stack frameworks and the challenges of full-stack documentation. It highlights the power of interactive tutorials and the importance of user testing in software development. The Talk also introduces learn.svelte.dev, a platform for learning full-stack tools, and discusses the roadmap for SvelteKit and its documentation.
SolidJS: ¿Por qué tanto Suspense?
JSNation 2023JSNation 2023
28 min
SolidJS: ¿Por qué tanto Suspense?
Top Content
Suspense is a mechanism for orchestrating asynchronous state changes in JavaScript frameworks. It ensures async consistency in UIs and helps avoid trust erosion and inconsistencies. Suspense boundaries are used to hoist data fetching and create consistency zones based on the user interface. They can handle loading states of multiple resources and control state loading in applications. Suspense can be used for transitions, providing a smoother user experience and allowing prioritization of important content.
De GraphQL Zero a GraphQL Hero con RedwoodJS
GraphQL Galaxy 2021GraphQL Galaxy 2021
32 min
De GraphQL Zero a GraphQL Hero con RedwoodJS
Top Content
Tom Pressenwurter introduces Redwood.js, a full stack app framework for building GraphQL APIs easily and maintainably. He demonstrates a Redwood.js application with a React-based front end and a Node.js API. Redwood.js offers a simplified folder structure and schema for organizing the application. It provides easy data manipulation and CRUD operations through GraphQL functions. Redwood.js allows for easy implementation of new queries and directives, including authentication and limiting access to data. It is a stable and production-ready framework that integrates well with other front-end technologies.
RedwoodJS: El marco de aplicación React Full-Stack de tus sueños
React Summit Remote Edition 2021React Summit Remote Edition 2021
43 min
RedwoodJS: El marco de aplicación React Full-Stack de tus sueños
Top Content
Redwood JS is a full stack React app framework that simplifies development and testing. It uses a directory structure to organize code and provides easy data fetching with cells. Redwood eliminates boilerplate and integrates Jest and Storybook. It supports pre-rendering and provides solutions for authentication and deployment. Redwood is a cross-client framework that allows for building web and mobile applications without duplicating work.

Workshops on related topic

Construyendo aplicaciones web que iluminan Internet con QwikCity
JSNation 2023JSNation 2023
170 min
Construyendo aplicaciones web que iluminan Internet con QwikCity
Featured WorkshopFree
Miško Hevery
Miško Hevery
Construir aplicaciones web instantáneas a gran escala ha sido elusivo. Los sitios del mundo real necesitan seguimiento, análisis y interfaces y interacciones de usuario complejas. Siempre comenzamos con las mejores intenciones pero terminamos con un sitio menos que ideal.
QwikCity es un nuevo meta-framework que te permite construir aplicaciones a gran escala con un rendimiento de inicio constante. Veremos cómo construir una aplicación QwikCity y qué la hace única. El masterclass te mostrará cómo configurar un proyecto QwikCity. Cómo funciona el enrutamiento con el diseño. La aplicación de demostración obtendrá datos y los presentará al usuario en un formulario editable. Y finalmente, cómo se puede utilizar la autenticación. Todas las partes básicas para cualquier aplicación a gran escala.
En el camino, también veremos qué hace que Qwik sea único y cómo la capacidad de reanudación permite un rendimiento de inicio constante sin importar la complejidad de la aplicación.
De vuelta a las raíces con Remix
React Summit 2023React Summit 2023
106 min
De vuelta a las raíces con Remix
Featured Workshop
Alex Korzhikov
Pavlik Kiselev
2 authors
La web moderna sería diferente sin aplicaciones ricas del lado del cliente respaldadas por potentes frameworks: React, Angular, Vue, Lit y muchos otros. Estos frameworks se basan en JavaScript del lado del cliente, que es su núcleo. Sin embargo, existen otros enfoques para el renderizado. Uno de ellos (bastante antiguo, por cierto) es el renderizado del lado del servidor completamente sin JavaScript. Descubramos si esta es una buena idea y cómo Remix puede ayudarnos con ello?
Prerrequisitos- Buen entendimiento de JavaScript o TypeScript- Sería útil tener experiencia con React, Redux, Node.js y escribir aplicaciones FrontEnd y BackEnd- Preinstalar Node.js, npm- Preferimos usar VSCode, pero también se pueden utilizar IDE en la nube como codesandbox (otros IDE también están bien)
De 0 a Autenticación en una hora con ReactJS
React Summit 2023React Summit 2023
56 min
De 0 a Autenticación en una hora con ReactJS
WorkshopFree
Kevin Gao
Kevin Gao
La autenticación sin contraseña puede parecer compleja, pero es simple de agregar a cualquier aplicación utilizando la herramienta adecuada. Hay múltiples alternativas que son mucho mejores que las contraseñas para identificar y autenticar a tus usuarios, incluyendo SSO, SAML, OAuth, Magic Links, One-Time Passwords y Authenticator Apps.
Mientras abordamos los aspectos de seguridad y evitamos errores comunes, mejoraremos una aplicación JS de pila completa (backend Node.js + frontend React) para autenticar a los usuarios con OAuth (inicio de sesión social) y One Time Passwords (correo electrónico), incluyendo:- Autenticación de usuarios - Gestión de interacciones de usuarios, devolviendo JWTs de sesión / actualización- Gestión y validación de sesiones - Almacenamiento seguro de la sesión para solicitudes de cliente posteriores, validación / actualización de sesiones- Autorización básica - extracción y validación de reclamaciones del token JWT de sesión y manejo de autorización en flujos del backend
Al final del masterclass, también exploraremos otros enfoques de implementación de autenticación con Descope, utilizando SDKs de frontend o backend.
Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js
JSNation 2024JSNation 2024
97 min
Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js
Workshop
Marco Ippolito
Marco Ippolito
En este masterclass, cubriremos las diez vulnerabilidades más comunes y riesgos de seguridad críticos identificados por OWASP, que es una autoridad confiable en Seguridad de Aplicaciones Web.Durante el masterclass, aprenderás cómo prevenir estas vulnerabilidades y desarrollar la capacidad de reconocerlas en aplicaciones web.El masterclass incluye 10 desafíos de código que representan cada una de las vulnerabilidades más comunes de OWASP. Se proporcionarán pistas para ayudar a resolver las vulnerabilidades y pasar las pruebas.El instructor también proporcionará explicaciones detalladas, diapositivas y ejemplos de la vida real en Node.js para ayudar a comprender mejor los problemas. Además, obtendrás información de un Mantenedor de Node.js que compartirá cómo gestionan la seguridad en un proyecto grande.Es adecuado para desarrolladores de Node.js de todos los niveles de habilidad, desde principiantes hasta expertos, se requiere un conocimiento general de aplicaciones web y JavaScript.
Tabla de contenidos:- Control de Acceso Roto- Fallas Criptográficas- Inyección- Diseño Inseguro- Configuración de Seguridad Incorrecta- Componentes Vulnerables y Obsoletos- Fallas de Identificación y Autenticación- Fallas de Integridad de Software y Datos- Fallas de Registro y Monitoreo de Seguridad- Falsificación de Solicitudes del Lado del Servidor
Deja que la IA sea tu Documentación
JSNation 2024JSNation 2024
69 min
Deja que la IA sea tu Documentación
Workshop
Jesse Hall
Jesse Hall
Únete a nuestro masterclass dinámico para crear un portal de documentación impulsado por IA. Aprende a integrar ChatGPT de OpenAI con Next.js 14, Tailwind CSS y tecnología de vanguardia para ofrecer soluciones de código e resúmenes instantáneos. Esta sesión práctica te equipará con el conocimiento para revolucionar la forma en que los usuarios interactúan con la documentación, convirtiendo las búsquedas tediosas en descubrimientos eficientes e inteligentes.
Aspectos destacados:
- Experiencia práctica en la creación de un sitio de documentación impulsado por IA.- Comprensión de la integración de la IA en las experiencias de usuario.- Habilidades prácticas con las últimas tecnologías de desarrollo web.- Estrategias para implementar y mantener recursos de documentación inteligente.
Tabla de contenidos:- Introducción a la IA en la documentación- Configuración del entorno- Construcción de la estructura de documentación- Integración de ChatGPT para documentación interactiva
Aprende Fastify Un Plugin a la Vez
Node Congress 2021Node Congress 2021
128 min
Aprende Fastify Un Plugin a la Vez
Workshop
Matteo Collina
Matteo Collina
Fastify es un marco de trabajo HTTP para Node.js que se enfoca en brindar una buena experiencia de desarrollo sin comprometer las métricas de rendimiento. Lo que hace especial a Fastify no son sus detalles técnicos, sino su comunidad, que está abierta a contribuciones de cualquier tipo. Parte de la fórmula secreta es la arquitectura de plugins de Fastify, que permite a los desarrolladores escribir más de cien plugins.Este masterclass práctico está estructurado en una serie de ejercicios que cubren desde lo básico, como "hola mundo", hasta cómo estructurar un proyecto, realizar acceso a bases de datos y autenticación.

https://github.com/nearform/the-fastify-workshop