A veces se nos olvida lo importante que es mantener nuestros secretos a salvo, y es que las imágenes de Docker no deberían de ser una excepción. Es por ello que tenemos herramientas como GitGuardian que nos permite escanear, tanto…
Posts tagged Seguridad
Integrar el flujo Authorization Code y PKCE para evitar ataques de interceptación del código
Actualizado el 23/12/2022 Si bien el flujo Authorization Code se considera el más seguro de todos, se ha demostrado que, en aplicaciones nativas, el código que otorga el servidor de autorización puede ser interceptado por aplicaciones maliciosas, haciéndose así con…
Ejemplo de Device Code Flow de OAuth 2.0
Actualizado el 23/12/2022 ¿Y si no tuviéramos un navegador en el dispositivo al que queremos dar permisos? Piensa en una televisión, una impresora, un asistente personal, un dispositivo IoT, etcétera. Por todo ello apareció un nuevo flujo en OAuth 2.0…
Ejemplo de Resource Owner Password Credentials (ROPC) Flow de OAuth 2.0
Actualizado el 23/12/2022 Ya hemos visto cómo usar OAuth 2.0 a través de los flujos Authorization Code, Implicit y Client Credentials. Todos ellos están enfocados a que las aplicaciones modernas tengan la mínima exposición de las credenciales de sus usuarios,…
Ejemplo de Client Credentials Flow de OAuth 2.0
Actualizado el 23/12/2022 Hay aplicaciones que no necesitan interactuar en nombre de los usuarios. Más bien, si se realiza cualquier tipo de acción, se hará en nombre de la propia aplicación. En el artículo de hoy vamos a ver el…
Actualizar access tokens cuando usas Implicit Flow
Actualizado el 22/12/2022 Los tokens que el servidor de autorización otorga, después de una autenticación correcta del usuario, tienen un tiempo de expiración. Sin embargo, si los usuarios tuvieran que estar continuamente autenticándose sería una pésima experiencia para ellos. Con…
Ejemplo de Implicit Flow de OAuth 2.0
Actualización del 26/12/2022: este flujo ya no es el recomendado, sino Authorization Code Flow con PKCE. Mira este artículo más reciente. Si tu aplicación no es capaz de guardar un secreto, porque esta se ejecuta completamente en el lado del cliente, Implicit…
OAuth 2.0, OpenID Connect y JSON Web Tokens (JWT) ¿Qué es qué?
Este artículo va ser largo, pero también aclaratorio de algunos conceptos que en muchas ocasiones son incomprendidos por muchos y hace que la integración de las aplicaciones con proveedores de identidad se haga muy, pero que muy, cuesta arriba. Hoy…
Escanear tu WordPress en busca de vulnerabilidades con wpcheck
WordPress es una de las plataformas más populares para crearte un blog, tu web corporativa o incluso puede actuar como e-commerce. Es por ello que es importante que conozcas cuáles son las vulnerabilidades que le acompañan, así como ser consciente…
Cómo autorizar a tus usuarios utilizando los grupos de Azure Active Directory en tus aplicaciones
Una vez que ya tienes tu aplicación integrada con Azure Active Directory, lo siguiente que debes decidir es cómo autorizas a tus usuarios en tu aplicación a ciertas páginas, cómo configuras las vistas y menús en función del grupo al…
Protección DDoS como servicio en Microsoft Azure
Otro de los servicios relacionado con la seguridad de tu negocio en la nube es Azure DDoS protection. Se trata de un plan, todavía en preview, que te permite proteger tu negocio en el cloud de los ataques de tipo…
Configurar el Web Application Firewall en Azure Application Gateway
Para terminar la semana, quiero contarte cómo de sencillo es proteger tu sitio web de ataques con Application Gateway. Dentro del propio servicio existe una característica adicional que te protege de manera automática de diferentes ataques como SQL Injection (SQLi), Cross…