Introducción
¿Qué tan seguro es tu sitio?
Validación de entradas
A1: injection
A7: cross-site scripting o XSS
Validando el user input en la página El Muro
Otras reglas de prevención
Autenticación rota
A2: broken authentication
Protección de sesiones en el cliente
¿Dónde guardar una sesión?
¿Dónde guardar tokens JWT?
Otras estrategias avanzadas de seguridad
Exposición de datos sensibles
A3: sensitive data exposure
Tokens firmados y encriptados
Próximos pasos
¿Quieres más cursos de Next.js?
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
El manejo de sesiones es un aspecto crítico en la seguridad de las aplicaciones web, ya que involucra la protección de información sensible y la prevención de accesos no autorizados. En este contexto, es esencial seguir las recomendaciones de OWASP y adoptar estrategias seguras y probadas para mitigar los riesgos, particularmente cuando se trata de la autenticación y el manejo de sesiones.
Aunque hay muchas estrategias efectivas, también existen prácticas que deben evitarse a toda costa. Entre ellas destacan:
Evitar el uso de Local Storage: Un error común es almacenar JWT en "local storage". Esto es riesgoso porque, incluso al cerrar las pestañas del navegador, el token sigue accesible. Local storage no proporciona un entorno seguro para almacenar información sensible y debe evitarse.
No desencriptar en el cliente: Desencriptar información en el cliente es peligroso. Esto implica que el cliente debe almacenar el secreto de desencriptación, exponiendo información sensible a cualquiera con acceso al cliente. Se recomienda manejar la desencriptación en un servidor o mediante endpoints seguros.
En lugar de las prácticas mencionadas, se pueden considerar alternativas más seguras:
Uso de Oauth y servicios externos: Incorporar servicios como Oauth permite gestionar sesiones de manera segura sin almacenar claves o secretos en la propia aplicación, incluso en páginas estáticas. Estos servicios ofrecen endpoints seguros para manejar autenticación y sesiones.
Implementación de Web Workers: Los Web Workers pueden actuar como intermediarios entre la aplicación y el servidor, interceptando y manipulando solicitudes HTTP. Aunque no son completamente seguros y requieren mitigación de vulnerabilidades XSS, pueden ofrecer una capa adicional de seguridad. Se recomienda el uso de cookies CSRF para aumentar la protección.
Una de las prácticas sugeridas es combinar diferentes técnicas para construir una estrategia robusta. Por ejemplo:
Este enfoque, utilizado por empresas como Lite Rail, ofrece una capa de seguridad adicional al manejar información sensible. Vale la pena explorar más en los enlaces proporcionados para adaptar y aplicar estos métodos de acuerdo a las necesidades específicas de cada aplicación.
Continuar explorando y entendiendo las mejores prácticas en la seguridad de sesiones no solo protegerá tus aplicaciones, sino que también te permitirá estar un paso adelante en el cambiante panorama de ciberseguridad. ¡Sigue aprendiendo y fortaleciendo tus habilidades en desarrollo seguro!
Aportes 4
Preguntas 0
Acabo de leerme el artículo completo de las dos cookies. Está genial.
Peter Locke propone llevar a cabo la autenticación diviendo el JWT en dos cookies:
Getting Token Authentication Right in a Stateless Single Page Application
Session Management - OWASP Cheat Sheet Series
“Nunca uses localStorage para guardar secretos”
“Nunca desencriptar [tokens] en el cliente, usar siempre endpoints”
Estrategia 2 cookies
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?