Calificación:
  • 0 voto(s) - 0 Media
  • 1
  • 2
  • 3
  • 4
  • 5
seguridad web
#1
Hasta el momento, se ha presentado un Web que ofrece un acceso abierto a un conjunto de información que explícitamente se hace pública. Sin embargo, en determinadas circunstancias, es interesante poder limitar el acceso a documentos reservados o útiles para un conjunto restringido de personas. Se pueden establecer dos tipos de restricciones:

Limitación de acceso en función de direcciones IP o dominio. Sólo los usuarios de un dominio u organización tendrán acceso a la información.
Limitación de acceso por nombres de usuario y claves de acceso. Sólo los usuarios que conozcan una clave de acceso válida pueden acceder a la información.
Otro aspecto que está cobrando especial importancia es la seguridad de la información que se intercambia en el Web. La explotación comercial de Internet exige disponer de sistemas de comunicación seguros, capaces de adaptarse a las necesidades de los nuevos servicios, como la compra electrónica o la banca a distancia. En estos servicios, se manejan dos conceptos fundamentales, la autentificación (garantizar que tanto el usuario de un cliente Web como un determinado servidor de información son quienes dicen ser) y la confidencialidad (hacer que la información intercambiada no pueda ser interceptada por terceros).

Con los sistemas de comunicación actualmente en uso, es técnicamente posible ‘pinchar’ un enlace de comunicaciones e interceptar el contenido de las comunicaciones TCP/IP que por él se transmiten. Cuando se envía información privada, por ejemplo un número de tarjeta de crédito en un formulario de compra, es vital garantizar que la información sea recibida exclusivamente por su destinatario, y que la identidad es la esperada.

Control de acceso a la información

Se utiliza para limitar el acceso a determinados documentos de un servidor Web, en función del origen y tipo de petición. La forma de hacerlo varía con el entorno en el que se publican las páginas (sistema operativo y servidor HTTP, principalmente); en general, todas las soluciones pasan por definir un fichero que contiene las diferentes limitaciones de acceso, en un formato característico del servidor HTTP. En algunos casos se utiliza un fichero global con las restricciones de acceso o bien un fichero por cada directorio al que se quiere limitar el acceso.

Cuando un cliente Web accede a un fichero protegido, el servidor devuelve un código de error asociado a la falta de permisos para realizar la operación (código 401). Si el acceso se realiza desde un dominio o dirección IP prohibida, no será posible acceder a la información desde ese sistema. Cuando la protección se basa en nombres y claves de acceso, el browser solicitará estos datos y los enviará al servidor para que sean verificados. Las claves de acceso se envían al servidor por diferentes sistemas, sin codificar (sencillo pero inseguro) o codificadas (DES o Kerberos, por ejemplo). Será el propio servidor HTTP el que informe sobre la manera en que se deben enviar estas claves de acceso.

Para conocer cómo se especifican estas listas de control de acceso, se puede emplear la documentación de los respectivos servidores HTTP. En la bibliografía se incluyen enlaces a estas páginas. En los siguientes apartados, se hace un breve repaso de las posibilidades de tres servidores muy utilizados.

Control de acceso en un servidor CERN

La versión 3.0 del servidor desarrollado por el CERN permite limitar el acceso a documentos o grupos de documentos, en función de nombres de usuario o direcciones de origen. El control de acceso se puede realizar para todo el servidor, modificando los ficheros globales de configuración o para un directorio concreto. Como este método está disponible para cualquier usuario, sin necesidad de tener privilegios de administración, será el comentado aquí.

El control de acceso al contenido de un directorio se realiza creando un fichero de nombre .www_acl, en el mismo directorio que los ficheros cuyo acceso se quiere controlar. Un ejemplo aclarará más el formato de este fichero:

secret*.html : GET,POST : trusted_people minutes*.html : GET,POST : secretaries *.html : GET : willy,kenny
Está formado por líneas, cada una de ellas fijando una limitación de acceso diferente. Para cada especificación de ficheros, se indica los comandos HTTP permitidos y los usuarios o grupos de usuarios que pueden acceder. Cuando se añade un control de acceso, automáticamente se deshabilita el acceso para los usuarios o grupos no incluidos. Se utiliza el mecanismo de autentificación básica, en la cual las claves de acceso son transferidas por la red sin codificar.
Se pueden crear usuarios o grupos de usuarios con la aplicación htadm, a través de la cual se generan nuevos usuarios y se les asigna claves de acceso. Además, a través de la configuración global del servidor, es posible fijar permisos de acceso por defecto, o restringir el uso del servidor a determinadas direcciones (o rangos de direcciones) IP.

NOTA
Se puede encontrar más información sobre el uso de los controles de acceso en http://www.w3.org/pub/WWW/Daemon/User/Co...sAuth.html.
WWW


Posibles temas similares...
Tema Autor Respuestas Vistas Último mensaje
  [Duda] COPIA DE SEGURIDAD PÁGINA WEB pedrovillarraga 8 496 02-08-2015, 04:12 PM
Último mensaje: YamaT
Bombilla copia de seguridad paginas web pedrovillarraga 1 260 02-05-2015, 09:42 AM
Último mensaje: Vicen
  Comprobar seguridad de la web con php TOMMYNRH 8 1,175 29-04-2015, 04:38 PM
Último mensaje: bseca
  seguridad en .httacess truzst23 16 1,683 27-08-2014, 06:32 PM
Último mensaje: TheBomberbe
Arcoiris Enseñe a los niños los fundamentos de la seguridad en línea R0bert0 2 485 10-08-2014, 05:09 AM
Último mensaje: habacuc78
  Estados Unidos reconoció que utiliza fallas de seguridad omegle23 17 1,125 06-06-2014, 05:44 AM
Último mensaje: yayito21
  Consejos para aumentar la seguridad Taquion 14 2,106 16-05-2013, 02:55 PM
Último mensaje: MrLoco
  tips SEO y seguridad web (Robots.txt) mandragon 4 1,165 05-05-2013, 02:02 AM
Último mensaje: MrLoco
  consejos basicos seguridad web nicolasfidalgo 0 455 02-04-2013, 07:13 PM
Último mensaje: nicolasfidalgo
  Seguridad para el Script Phpost Razor007 30 5,382 28-02-2013, 02:06 PM
Último mensaje: antoni16z16



Usuarios navegando en este tema: 1 invitado(s)