He estado mirando con tranquilidad un post de Jonathan Weiss sobre seguridad, bueno más bien la presentación de que se pueden extraer algunos consejos para securizar una aplicación web desarrollada con RoR. Ya se sabe como son la presentaciones, que a veces pueden no ser suficientes, así que si te interesa, puedes ver el video que acompaña al post.
En la lista de ruby on rails ha sido poco comentado, supongo que la mayoría de gente los utiliza de forma regular; sin embargo, la presentación destaca una lista de cosas bastante interesantes para el uso cotidiano. Destaco algunas:
- Elimina las páginas por defecto de las aplicaciones: 404, 500, etc. y sustitúyelas por unas propias.
- Desactiva el header del servidor, para que no sea fácil averiguar qué estás corriendo.
- Él comenta que establezcas una configuración en el servidor de tal forma que los .svn no sean accesibles; yo iría más lejos, haz eso y además hazte un script para limpiar tu aplicación de estos direcctorios.
- Cuida tus cookies, te da algunos consejos.
- Elimina los formatos en las entradas por parte de usuario que no son necesarios y protege las partes en las que permites que se utilizen, utilizando diferentes sistemas.
- Protégete del sql injection, te da recomendaciones sencillas para ello.
- Algunos consejos sobre los plugins.
Por si tenéis más ganas de leer algunos consejos o cosillas interesantes os paso un blog, la verdad es que no se actualiza mucho, pero es probable que queráis leer algunos de sus antiguos post, podrían ayudaros.
¿Conocéis blogs o webs sobre seguridad en Ruby on Rails? No os importe decirlo, la verdad es que nunca vienen mal tenerlos a mano.
0 Responses
Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.