¿Recursos / materiales para implementar servicios web seguros?

5

Estoy implementando una API web de estilo REST (nota: debe ser más pragmática que canónica) y me gustaría asegurarla. El lenguaje que estoy usando es bastante nuevo y no tiene muchos módulos de seguridad prefabricados de alta calidad como, por ejemplo, Rails 'Devise, y por eso tengo que utilizar el mío. También creo que esta es una muy buena oportunidad de aprendizaje, ¿por qué no?

Los escenarios básicos que necesito para trabajar son:

  • inicio de sesión seguro a través de la web
  • iniciar sesión para usuarios móviles que utilizan la misma API
  • ACL basadas en quién es el usuario

Al no haber implementado ninguno de los anteriores a mano, no conozco las mejores prácticas. Desafortunadamente, no he podido encontrar ningún buen recurso que tenga tutoriales / guías sobre cómo se implementan algunos de estos conceptos básicos de seguridad web.

Por ejemplo, ¿qué es un buen ejemplo de autenticación basada en cookies, qué almacena en el token que se deja en el navegador del usuario, etc.? No he podido descubrir nada sólido a través de Google, sorprendente dado que debe ser una de las implementaciones más comunes para la mayoría de los sitios web.

¿Consejos?

¡Gracias!

    
pregunta glitch 03.05.2013 - 21:13
fuente

1 respuesta

5

La mayoría de los Top 10 de OWASP se aplican a los servicios web. Un recurso más detallado sería la Mozilla WebAppSec Guide .

Los servicios web "RESTful" no deberían tener un "token de sesión". Relacionado: " ¿Las sesiones realmente violan RESTfulness? " Sin embargo, al final del día, necesita algún tipo de token para fines de autenticación.

En resumen, si está escribiendo un controlador de sesión para resolver un problema del mundo real lo está haciendo mal . Lo último que necesitamos es otra reinvención de la rueda. Si está escribiendo un controlador de sesión con fines educativos, ¡esa es una excelente herramienta de aprendizaje! La Mozilla WebAppSec Guide y la La hoja de referencia de administración de sesión de OWASP tiene requisitos detallados para un controlador de sesión seguro.

    
respondido por el rook 03.05.2013 - 22:03
fuente

Lea otras preguntas en las etiquetas