Sign up to save your podcasts
Or
Share Actualización de seguridad
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Actualización de seguridad
Hoy quiero hablar de una parte del trabajo que normalmente no se ve, pero que para mí es fundamental: la seguridad.
En esta nueva versión de EasyPodcast he dedicado bastante esfuerzo a reforzar la aplicación por dentro. No tanto con funciones vistosas, sino haciendo que el sistema sea más sólido, más resistente y más seguro.
He endurecido la política de seguridad del navegador, la CSP, para limitar mejor qué scripts pueden ejecutarse y reducir riesgos de inyección de código. También he reforzado varias cabeceras de seguridad y he mejorado la gestión de sesiones, haciendo que las cookies del panel estén más protegidas.
Además, he revisado la protección CSRF en acciones sensibles del panel, incluido el cierre de sesión, para evitar que se puedan lanzar acciones en nombre del administrador desde fuera. También he añadido limitación de intentos en el login y en la verificación del segundo factor, para complicar ataques por fuerza bruta.
Otro cambio importante afecta a la API: los tokens ya no se guardan en claro, sino mediante hash, y ahora además tienen alcances diferenciados para limitar mejor lo que puede hacer cada uno.
También he reforzado el saneado del HTML y el escape de salida para reducir riesgos de XSS, y he reorganizado parte del código del frontend y del panel para que sea más limpio, más mantenible y más fácil de auditar.
Y junto a todo eso, he añadido y reforzado tests para asegurarme de que estas mejoras no sólo funcionan ahora, sino que no se rompan más adelante.
En resumen, esta versión no sólo trae cambios visibles: también refuerza los cimientos. Y para mí eso es igual de importante, porque una aplicación no sólo tiene que funcionar, también tiene que estar preparada para hacerlo de forma segura.
View all episodes
By Eduardo ColladoHoy quiero hablar de una parte del trabajo que normalmente no se ve, pero que para mí es fundamental: la seguridad.
En esta nueva versión de EasyPodcast he dedicado bastante esfuerzo a reforzar la aplicación por dentro. No tanto con funciones vistosas, sino haciendo que el sistema sea más sólido, más resistente y más seguro.
He endurecido la política de seguridad del navegador, la CSP, para limitar mejor qué scripts pueden ejecutarse y reducir riesgos de inyección de código. También he reforzado varias cabeceras de seguridad y he mejorado la gestión de sesiones, haciendo que las cookies del panel estén más protegidas.
Además, he revisado la protección CSRF en acciones sensibles del panel, incluido el cierre de sesión, para evitar que se puedan lanzar acciones en nombre del administrador desde fuera. También he añadido limitación de intentos en el login y en la verificación del segundo factor, para complicar ataques por fuerza bruta.
Otro cambio importante afecta a la API: los tokens ya no se guardan en claro, sino mediante hash, y ahora además tienen alcances diferenciados para limitar mejor lo que puede hacer cada uno.
También he reforzado el saneado del HTML y el escape de salida para reducir riesgos de XSS, y he reorganizado parte del código del frontend y del panel para que sea más limpio, más mantenible y más fácil de auditar.
Y junto a todo eso, he añadido y reforzado tests para asegurarme de que estas mejoras no sólo funcionan ahora, sino que no se rompan más adelante.
En resumen, esta versión no sólo trae cambios visibles: también refuerza los cimientos. Y para mí eso es igual de importante, porque una aplicación no sólo tiene que funcionar, también tiene que estar preparada para hacerlo de forma segura.