A veces se nos olvida lo importante que es mantener nuestros secretos a salvo, y es que las imágenes de Docker no deberían de ser una excepción. Es por ello que tenemos herramientas como GitGuardian que nos permite escanear, tanto…
Posts tagged Seguridad
Integrar el flujo Authorization Code y PKCE para evitar ataques de interceptación del código
Si bien el flujo Authorization Code se considera el más seguro de todos, se ha demostrado que, en aplicaciones nativas, el código que otorga el servidor de autorización puede ser interceptado por aplicaciones maliciosas, haciéndose así con un token de…
Ejemplo de Device Code Flow de OAuth 2.0
¿Y si no tuviéramos un navegador en el dispositivo al que queremos dar permisos? Piensa en una televisión, una impresora, un asistente personal, un dispositivo IoT, etcétera. Por todo ello apareció un nuevo flujo en OAuth 2.0 llamado Device Code…
Ejemplo de Resource Owner Password Credentials (ROPC) Flow de OAuth 2.0
Ya hemos visto cómo usar OAuth 2.0 a través de los flujos Authorization Code, Implicit y Client Credentials. Todos ellos están enfocados a que las aplicaciones modernas tengan la mínima exposición de las credenciales de sus usuarios, así como afinar…
Ejemplo de Client Credentials Flow de OAuth 2.0
Hay aplicaciones donde no necesitamos interactuar en nombre de los usuarios. Más bien, si se realiza cualquier tipo de acción, se hará en nombre de la propia aplicación. En el artículo de hoy vamos a ver el flujo Client Credentials,…
Actualizar access tokens cuando usas Implicit Flow
Los tokens que el servidor de autorización otorga, después de una autenticación correcta del usuario, tienen un tiempo de expiración. Sin embargo, si los usuarios tuvieran que estar continuamente autenticándose sería una pésima experiencia para ellos. Con el objetivo de…
Ejemplo de Implicit Flow de OAuth 2.0
Si tu aplicación no es capaz de guardar un secreto, porque esta se ejecuta completamente en el lado del cliente, Implicit Flow es lo que necesitas. En este artículo vamos a ver un ejemplo práctico, al igual que vimos con…
OAuth 2.0, OpenID Connect y JSON Web Tokens (JWT) ¿Qué es qué?
Este artículo va ser largo, pero también aclaratorio de algunos conceptos que en muchas ocasiones son incomprendidos por muchos. Hoy quiero hablarte de OAuth 2.0, OpenID Connect y JSON Web Tokens y qué es qué. ¿Por qué aparecen estas tecnologías?…
Escanear tu WordPress en busca de vulnerabilidades con wpcheck
WordPress es una de las plataformas más populares para crearte un blog, tu web corporativa o incluso puede actuar como e-commerce. Es por ello que es importante que conozcas cuáles son las vulnerabilidades que le acompañan, así como ser consciente…
Cómo autorizar a tus usuarios utilizando los grupos de Azure Active Directory en tus aplicaciones
Una vez que ya tienes tu aplicación integrada con Azure Active Directory, lo siguiente que debes decidir es cómo autorizas a tus usuarios en tu aplicación a ciertas páginas, cómo configuras las vistas y menús en función del grupo al…
Protección DDoS como servicio en Microsoft Azure
Otro de los servicios relacionado con la seguridad de tu negocio en la nube es Azure DDoS protection. Se trata de un plan, todavía en preview, que te permite proteger tu negocio en el cloud de los ataques de tipo…
Configurar el Web Application Firewall en Azure Application Gateway
Para terminar la semana, quiero contarte cómo de sencillo es proteger tu sitio web de ataques con Application Gateway. Dentro del propio servicio existe una característica adicional que te protege de manera automática de diferentes ataques como SQL Injection (SQLi), Cross…