21236485
GoConqr Review
Magnífico mapa mental que describe los principios de codificación segura: seguridad por defecto, fallar de man era segura y mucho más, explicado aquí.
Mind Map by Daniel Rojas, updated more than 1 year ago
|
Created by Daniel Rojas
about 4 years ago
|
|
PRINCIPIOS DE
CODIFICACIÓN SEGURA
- Seguridad por defecto
- El sistema debe contar con parámetros
preestablecidos para la seguridad
- • Cuando se cree una cuenta de usuario, se establezca
una contraseña por defecto generada
automáticamente y sea caracteres aleatorios.
- • A la hora de hacer el primer ingreso al sistema, este le
exigirá al usuario cambiar la contraseña siguiendo
parámetros
- El sistema debe contar con parámetros
preestablecidos para la seguridad
- Fallar de manera segura
- Los fallos deben ser tratados de una u otra forma para
que no pongan en riesgo la seguridad del aplicativo
- • En caso de un error a la hora de seleccionar un
producto, el sistema debe recargarse y deseleccionar
el o los ítems previamente indicados y regresar a
una interfaz anterior a la del catálogo, además,
informar al cliente el error presentado.
- • Si llegase a presentarse una falla a la hora de generar una
compra en una tienda online, el sistema informe el error y
reverse todo lo que se haya hecho hasta el momento para
no incurrir en una afectación para el cliente.
- Los fallos deben ser tratados de una u otra forma para
que no pongan en riesgo la seguridad del aplicativo
- Minimizando el área de la
superficie de ataque
- Una nueva funcionalidad conlleva un nuevo
riesgo
- reducir el espacio donde se puede explotar
una vulnerabilidad dentro de un sistema
- • Se implementa una funcionalidad de rastreo del envío del paquete,
esta opción debe estar disponible únicamente a los usuarios que
estén registrados en el sistema y que hayan efectuado alguna
compra.
- • Se tiene una función de historial de compras, para minimizar la
superficie de ataque es necesario restringir el acceso de esta
función por usuario registrado, además solo deberá poder leer
información perteneciente a su usuario.
- Una nueva funcionalidad conlleva un nuevo
riesgo
- Principio de defensa en profundidad
- Así se tengan controles justos no se descarte el uso de más
verificaciones contra diferentes vulnerabilidades
- cuanta más prevención se tenga, más difícil será que se
exploten los posibles riesgos
- • Se tiene una función de historial de compras, para minimizar la
superficie de ataque es necesario restringir el acceso de esta
función por usuario registrado, además solo deberá poder leer
información perteneciente a su usuario.
- • Se implementa una funcionalidad de rastreo del
envío del paquete, esta opción debe estar disponible
únicamente a los usuarios que estén registrados en el
sistema y que hayan efectuado alguna compra.
- Así se tengan controles justos no se descarte el uso de más
verificaciones contra diferentes vulnerabilidades
- Principio del mínimo privilegio
- Solamente se dé acceso a un usuario/función a
lo estrictamente necesario
- • Se implementa una función que registre las transacciones de un
usuario, esta solo debería guardar registro de las compras o
devoluciones que haya generado un cliente.
- • Al sistema llega una funcionalidad de búsqueda de productos, esta
solo debe traer registros de los productos que se cuenten con stock y
que se estén ofertando en ese momento. No debe traer productos
que ya no estén disponibles o carezcas de existencias en el
inventario
- Solamente se dé acceso a un usuario/función a
lo estrictamente necesario
Media attachments
Want to create your own Mind Maps for free with GoConqr? Learn more.