¿Cómo proteger a los usuarios de aplicaciones web del compromiso del servidor?

1

Me gustaría crear una aplicación web que se ejecute en un servidor que no controlo físicamente (por ejemplo, en Google Cloud). Quiero proteger a mis usuarios de la posibilidad de que el servidor se vea comprometido y envíe un código JavaScript malicioso al cliente.

¿Cuál es el estado del arte para hacer esto? ¿Ya está hecho? Mylar parecía una solución prometedora con su extensión de navegador para autenticar aplicaciones web, pero parece que no obtuvo ninguna respuesta y puedo ni siquiera encuentro la extensión del navegador para instalar (aparte de compilarla desde la fuente).

    
pregunta David Braun 01.05.2017 - 06:16
fuente

2 respuestas

1

Aquí hay una clara separación de preocupaciones. Como desarrollador de aplicaciones web, debe usar las reglas de seguridad más avanzadas para proteger su aplicación. Si también es responsable de su integración en un servidor, también debe asegurarse de que todos los componentes que use alrededor de la aplicación (por ejemplo, un servidor frontal Apache o nginx) tengan configuraciones que sigan las reglas del estado de la técnica.

Pero la protección de las máquinas cliente solo puede depender de los propietarios de las máquinas, y lo mejor que puede hacer es asegurarse de haber realizado su trabajo de producción y configuración de una aplicación web correctamente protegida.

Dicho esto, la seguridad de una aplicación web depende en gran medida de la seguridad global de su host. Si cree que no puede confiar en el entorno del host, no debe usarlo, o aceptar que la seguridad de su aplicación no será mayor que la de su host. Dicho de otra manera, al utilizar un servicio de alojamiento para su aplicación, usted acepta su nivel de seguridad.

    
respondido por el Serge Ballesta 01.06.2017 - 15:18
fuente
0

Política de seguridad del contenido es probablemente un buen lugar para comenzar.

Pero, en última instancia, desde la perspectiva del cliente, si te conectas a un sitio web (con Javascript habilitado), estás insinuando que tienes un nivel básico de confianza en él ... incluso si no te das cuenta.

Desde la perspectiva de hospedar un sitio, si está hospedando con un proveedor, confía en que lo hagan de manera segura, solo hay mucho que puede hacer: su "huevo" está completamente en su " cesta".

Para activos de terceros (generalmente alojados a través de un CDN), puede emplear integridad del sub-recurso .

    
respondido por el Nathan 01.05.2017 - 10:39
fuente

Lea otras preguntas en las etiquetas