Vulnerabilidades en aplicaciones Web – Estadísticas

Recientemente me he encontrado con un documento muy interesante acerca de datos estadísticos de las vulnerabilidades en aplicaciones Web de los tres últimos años. Todavía no se incluyen datos del año que está a punto de terminar, por lo tanto estamos hablando de datos de los años 2010, 2011 y 2012.

A continuación veremos interesantes datos estadísticos organizados por años y por categorías según tipo de vulnerabilidades identificadas.

Vulnerabilidades en aplicaciones Web

Como primera curiosidad y según la gráfica anterior, durante el año 2012 la media de vulnerabilidades por aplicación Web era ligeramente inferior a la de los años 2010 y 2011, aunque en valores muy cercanos. Quiero entender que las técnicas de desarrollo seguro empieza a dar sus frutos. Read the rest of this entry »

Browser Fingerprinting: votaciones en la Web

En esta ocasión trataremos el tema de las votaciones en la Web. Esas votaciones que se utilizan para valorar un post en un blog, un vídeo en una Web o una canción en un concurso de nuevos talentos musicales. A día de hoy, casí todos los sistemas de votación que se utilizan para estos menesteres tienen algo en común, y es la técnica usada para limitar y controlar que un usuario sólo pueda realizar un voto, para evitar trampas en el resultado final de las votaciones; el Browser Fingerprinting.

Pero, ¿qué es exactamente el Browser Fingerprinting? Pues bien, los que estáis más metidos en el mundo de la seguridad, sabréis que el término Fingerprinting se utiliza para describir el proceso de recopilación de información de un servicio o software.

Si le añadimos delante el concepto Browser, que se refiere a nuestro navegador Web, podemos llegar a la conclusión que se trata de una técnica usada para recopilar la máxima información imposible del navegador Web de un usuario que visita un sitio Web.

¿Cuál es esa información que se recopila que pueda identificar de forma única a un usuario/navegador? La primera respuesta que se nos viene a la cabeza, es la dirección IP, parámetro que no es específico del navegador, si no más bien de la conexión, aunque sí es cierto que es un dato que también se utiliza. Pero realmente son muchos más los parámetros usado para esta identificación única:

  • Sistema operativo
  • Resolución de pantalla
  • Zona horaria
  • Fuentes instaladas
  • Agente de usuario
  • Fecha y hora
  • Plugins instalados
  • Lista de tipos MIME aceptados
  • Cookies

Read the rest of this entry »