Divergencias en aplicaciones de Internet

Cuando una empresa vende un producto, se llame sistema operativo, sistema de gestión, etc, lo ofrece como un producto terminado que en realidad no es tal.

¿Por qué decimos esto? Hay una forma elegante de promocionar lo que nosotros adquirimos, la aplicación necesita incorporar una mejora para aumentar la seguridad, en pocas palabras un parche. Ahora bien, el interrogante es ¿un parche de seguridad o de modificaciones no es de alguna manera, una muestra cabal de que el sistema no está completo?

Por el otro lado, está el manifiesto que se incluye con la deja la paranoiacompra, donde aceptamos las reglas de juego. Esto está bastante tergiversado. Ahora bien las empresas aprendieron a hacer los deberes, pues están buscando otras empresas que den servicios de certificaciones que avalen estos productos, como decimos comúnmente “antes de salir del horno”. Podemos mencionar dos empresas que están certificando con muy buena respuesta en el mercado, ellas son West Coastal Labs y Inteliguardians LLC. En el futuro surgirán nuevas prestadoras de este servicio debido a que es una demanda que exigen las nuevas tecnologías.

Por ello vemos como ciertas compañías aplican determinados productos para estar a la vanguardia o anticiparse a los desafíos de las vulnerabilidades de sus sistemas.

La gran autopista: Internet

Hoy el transporte de la información va por una carretera muy amplia que es Internet, claro hasta hace poco decíamos que no era del todo estable, pero con la incorporación de los servicios de voz como un producto fuerte que baja los costos de las empresas, necesariamente la retroalimentación de Internet se va haciendo sólida a través de nuevas demandas de comunicación.

Para ello, a manera de introducción, ampliamos el funcionamiento de las comunicaciones en la web y las formas de aplicarles seguridad. Como corolario agregamos un caso de estudio de una empresa desarrolladora de software para el acceso a los datos.

Desafíos que se presentan en el uso de las comunicaciones web

Como es sabido, las comunicaciones en la web tiene muchos beneficios, pero a su vez acarrean ciertos desafíos como: 

•Interacción limitada: la interacción en una página web es limitada porque no se puede comunicar con el servidor en tiempo real, excepto cuando la misma es enviada por el usuario. Por ejemplo: si un programa necesita actualizar un campo de lista, necesita del refresco de toda la página para llega a determinado campo.
•Necesidad de experiencia en programación: la web y su comunicación todavía es bastante desconocida para los programadores de la vieja ola, quienes estaban ocupados desarrollando servicios clientes servidor, aplicaciones estándar o programación en equipos multi-núcleo (mainframes); por lo tanto no se encuentran aún familiarizados con estas nuevas tecnologías, sus escalabilidades y portabilidad.
•Riesgos de seguridad: el uso de la web presenta a la red de su empresa nuevos riesgos de seguridad así como vulnerabilidades a la hora de la programación, pues se pueden exponer públicamente los datos privados y propios.
•Compatibilidad con los navegadores: desafortunadamente, la competencia entre los navegadores da como resultado varias diferencias a la hora de soportar los estándares, creando confusión entre los usuarios, además de la importancia vital de los errores de compatibilidad con las aplicaciones web. Es recomendable chequear cada aplicación con diferentes navegadores. Una herramienta muy útil es NetMechanic browser, si dese lo puede descargar desde www.netmechanic.com/browser-index.htm
•Debilidades de las herramientas web: el desarrollo de aplicaciones web lleva aparejado el consumo de mucho tiempo de programación debido a la ausencia de herramientas web medianamente sólidas o estables; las existentes requieren de amplios conocimientos y experiencia para poder aplicarlas: y las más recientes facilitan la creación de aplicaciones web.Podemos citar como plataformas más robustas a Macromedia Dreamweaver MX, Microsoft Visual Studio.NET y Codecharge YesSoftware.
•Arquitectura de aplicaciones web: en general, las aplicaciones web usan la arquitectura de cliente/servidor, donde los navegadores actúan como cliente liviano (thin client) en proceso de dos capas.
•Servidores de aplicaciones: un servidor de aplicaciones es la capa intermedia en la arquitectura de tres grados o tiers. Los servidores procesan la lógica del negocio en sí mismos y generan la comunicación entre el navegador y la base de datos.
•Servicios web: los servicios web son programas que no sacan la información en la pantalla o en el servidor web; en su lugar envían la salida a otros programas en el formato XML. Ellos no reciben los datos ingresados por los usuarios desde el teclado, pero leen la información enviada hacia ellos por otros servicios. Los servicios web permiten a los programas intercambiar información a través de Internet y corren aplicaciones remotas como parte de un software local del sistema.·    •Cookies: los cookies son pequeños datos enviados por un programa al navegador y almacenados en la computadora local para ser recuperados más tarde.
•Variables de sesión: las variables de sesión son similares a las variables locales comunes, ellas a su vez son usadas para almacenar información que puede ser recuperada por otras páginas durante el transcurso de una sesión de usuario. Dentro de ellas se almacena el ID de la persona que ingresó y otros datos auxiliares.
•Variables de aplicaciones: las variables de las aplicaciones están disponibles en todas las páginas de una aplicación web, las mismas pueden ser accedidas por todos los usuarios que no estén en la sesión actual precisamente. Todas estas variables son inicializadas cuando se reinicia el servidor.

Los métodos GET y POST

Cuando usted crea páginas webs que contienen campos con entrada de datos, los campos aparecen entre las siguientes marcas que crean un formulario:  <form> y </form>. Las marcas de formularios tienen atributos adicionales, uno de ellos es el método GET y otro es el método POST.

El primer método hace que la información ingresada en el formulario sea enviada al servidor cuando el usuario hace un click en un botón enviar. El método POST genera que la información enviada viaje en una secuencia de datos invisible al usuario. Con el método GET se genera una nueva página en el navegador por defecto con los parámetros solicitados seguidos por un signo de interrogación y cada parámetro separado por el signo ampersand &.

Por ejemplo si un formulario le solicita a un usuario que ingrese nombre y apellido después de enviar el formulario, el usuario es redirigido una nueva página a un vínculo como este: http://www.misitio.com/pagina1.asp?nombre=James&Apellido=BondEstos comandos se pueden generar manualmente ingresando el vínculo al navegador donde exista una información adicional. El programa servidor que está siendo ejecutado en ese momento sólo aceptará información con el formato original de los datos y el contenido que utiliza.

Usar un cortafuego para asegurar el acceso a Internet.

Los computadores que publican sus datos por Internet están expuestos a varios riesgos de seguridad como hackers o infecciones de virus. Debido a esos riesgos, es recomendable que utilice un cortafuego (firewall) para filtrar los requerimientos externos no deseados.

El cortafuegos debe ser configurado para reunir un criterio específico y filtrar todo el tráfico entrante y saliente, y a su vez tener una política de puertos. Muchos cortafuegos trabajan como enrutadores y o servidores de proximidad, permitiendo con un solo dispositivo dar conectividad de Internet a todos los equipos. Debido a los riesgos de seguridad los cortafuegos han crecido exponencialmente.

Tablas de configuración avanzada de seguridad

Estas tablas permiten extender las configuraciones de seguridad dentro de las aplicaciones. El ejemplo que mostramos es del entorno de programación de  CodeCharge de YesSoftware.

Vimos ejemplos de aplicaciones, lenguajes y cómo se aplica la seguridad mediante la encriptación. Este es un tema bastante extenso para comentarlo en un artículo, pero como siempre es nuestra temática llevarle al lector pinceladas de las tecnologías para permitirle al menos obtener conceptos primarios.

Como corolario podemos decir que es importante ver las certificaciones de los productos y que verificaciones tienen realizadas, esto habla de que estamos utilizando un producto seguro.

Las marcas de productos, nombres, funciones mencionadas están registradas por sus respectivas empresas.

*Para consultas, comentarios y/o inquietudes puede escribir al correo electrónico [email protected]