Entre otros podemos ver:
- Autenticación HTTP a través de claves de sesión en cookies y formularios HTML.
- Susceptibilidad de las cookies a todo tipo de ataques por parte de intermediarios y mirones.
- Autenticación básica, digest y otros esquemas basados en la capa de transporte.
- Esquemas de autenticación basados en tickets centralizados.
- Web Services. (protocolos basados en XML)
- Posible revisión del protocolo HTTP en un futuro.
Ya hablamos de esto anteriormente, la seguridad en la capa de transporte proporcionada a los protocolos de nivel más alto, como HTTP, o lo que es lo mismo, HTTPS, no es suficiente para los riesgos que existen actualmente en las aplicaciones web.
Este documento cubrirá los mecanismos de seguridad de HTTP como una combinación del transporte seguro y la autenticación de acceso. Su objetivo será concluir con un documento de "Recomendación de las mejores prácticas actuales de la seguridad HTTP".
Hay que ver que en la actualidad se trata únicamente de un borrador inicial y está incompleto. Pero al menos, son buenas noticias, ya que se está trabajando en ello para que tarde o temprano se empiece a implementar. Puede que no sea todo lo que necesitamos, pero al menos es más de lo que tenemos actualmente.
Emilio Casbas, S21sec labs
No hay comentarios:
Publicar un comentario