Referencias de seguridad

Acabo de leer en la bitácora de fernand0 una referencia a Security Principles, un post de J.D Meier, donde se da una lista de principios a seguir a la hora del desarrollo de aplicaciones seguras, centrado sobre todo en plataforma web y con referencias a herramientas tecnológicas para implementar las medidas presentes en el entorno Windows.

La lista de consejos que da el autor del artículo es la siguiente:

• Ejecutar los procesos con el mínimo privilegio posible.
• Establecer controles de acceso entre las diferentes capas de la aplicación.
• No confíes en lo que te manda el usuario.
• Usa configuraciones por defecto seguras.
• No confíes en la seguridad a través de la oscuridad.
• Autoriza en la entrada y establece a qué puede acceder el usuario.
• Asume que todo sistema externo es inseguro.
• Reduce la información no necesaria que se muestra a los usuarios.
• Si la aplicación falla elimina toda información sensible y no de a los usuarios información detallada del error.
• La seguridad debe mantenerse en todas las capas de la aplicación: una cadena es tan segura como el más débil de sus eslabones.
• Si no usas una funcionalidad, desactivala.

Como puede verse, esta lista de principios básicos es algo de sentido común, aunque muchas veces cosas como aplicar el principio de mínimo privilegio te causa una discusión con medio equipo de desarrollo, un jefe proyecto y un comercial que pasaba por allí (sobre todo porque en los proyectos Windows, me encontré un tiempo con cierta tendencia a desarrollar como administradores de las máquinas, y luego, pasaba lo que pasaba).