ASP.NET, seguridad y algunos mitos

El cuento empieza luego de que un amigo me preguntó si sabía algo de Graffiti -- un CMS de pago desarrollado en .NET, puesto que su empresa tenía planes en adquirir unas cuantas licencias del mismo.

El hecho es que mientras charlabamos intenté convencerle para que usen WordPress en su lugar, pero las principales razones que me dió para haber descartado esa opción era que a) WordPress tenía un largo historial de problemas de seguridad en comparación al otro y b) que por el mismo hecho de estar desarrollado en .NET la aplicación era más segura. Cuando participaba en ciertos foros de discusión relacionados a .NET, solía ser fácil encontrar ese tipo de opiniones en relación a la seguridad[1] de ASP.NET, es por este motivo que me animé a comentar esta anécdota, puesto que posiblemente sea de útil para alguien que recién comienza -- naturalmente tendría que pasar por alto mi terrible forma de redactar y ortografía. 😀

Regresando al tema lo que le dije fue que los problemas de seguridad existen, más allá de lo buenos que sean los programadores o de que los lenguajes que utilicen sean dinámicamente o estáticamente tipados y que el número de problemas reportados generalmente está en relación a la popularidad del software.

Finalmente, para reforzar lo que había dicho, daba la casualidad que hace algo menos de un año, había encontrado un problema grave de seguridad que todavía afecta a la última versión de Graffiti y que permite tomar el control del sitio en cuestión de segundos. Ahora me pregunto, ¿habré ganado algún usuario más de WordPress? 😀

1. No digo que este tipo de opiniones solamente vengan de parte de algunos desarrolladores .NET, sólo comento mi experiencia.

3 Replies to “ASP.NET, seguridad y algunos mitos”

  1. Bueno wordpress tampoco es santo de mi devocion ( y eso que yo mismo lo uso ). Sin embargo, aun existe un gran temor por parte de la gente de TI de usar software por el cual creen nadie se hace responsable. Aunque la verdad sea dicha, nadie se hace responsable por ningun software, sea este privativo o libre. No obstante, ellos se sienten mas comodos si pueden pagar por el mismo. Al final creen que el simple hecho de pagar por algo les da derecho a reclamar, realmente no importa si les hacen caso o no ... eso ya les hace sentir mas seguros de por si

  2. La seguridad en una web y en un cms es muy relativa y está enlazada a muchas otras cosas; no solo a si el CMS es o no seguro. Es bien sabido que prácticamente ningún CMS es seguro como viene de fábrica, como no hay sistema operativo seguro de fábrica.

    La seguridad va de parte del administrador o administradores de la web y el servidor, puedes usar mod_rewrite en apache para evitar gran cantidad de ataques XSS, SQL Injection, Directory Travesal, CSRF.... puede usar también mod_security. Si la web es hecha en PHP; el PHP.ini ¿está como viene por defecto?; si fuese así algunas funciones peligrosas pueden estar activas como url_fopen y hasta alguna como register_globals. Algo que he notado es que es raro que un administrador web tome en cuenta estos detalles y nunca use por ejemplo, mod_rewrite más que para casos como URLs amigables.

    Al igual que el comentarista de arriba uso WordPress y no es de mi agrado completamente, le he dedicado tiempo a quitarle muchas funciones, archivos y cosas porque o no las uso o me parecen inseguras; pero no usar wordpress porque no es pago y no me dan garantía es absurdo, su comunidad es inmensa y la ayuda que puede encontrar puede ser por mucho mejor a la de otro cms pago o gratuito.

    El claro ejemlplo de algo pago y que no da muchas garántías es Windows 😀 lo pagas, conocen un bug y lo arreglan cuando les de la gana.

    Salu2

Comments are closed.