Autenticación OAuth y certificados, la seguridad de Flexygo

El equipo de Flexygo trabaja para tener una herramienta vanguardista en cuanto a desarrollo tecnológico, actualizada y con más posibilidades cada día, por ello,  hoy queremos hacer un breve recordatorio de las novedades del producto qué más interés han despertado y que tienen que ver con la seguridad del mismo.

Autenticación OAuth

La preocupación por la seguridad sobre los contenidos y bases de datos (BBDD) merma en los clientes de una manera inevitable y razonable. Por ello, Flexygo incorpora en su web API, la autenticación OAuth. Esto no es más que un modelo de autenticación con el que los usuarios pueden acceder a sus servicios de forma segura y sin compartir sus credenciales de inicio de sesión.

En este punto, y antes de continuar, cabe destacar su diferenciación entre autenticación y autorización. La autenticación es el proceso por el cual un usuario tiene una identidad y acceso únicos (usuario y contraseña).
La autorización es el proceso a través del que se proporciona acceso a un usuario sobre todos los recursos, tras haber ejecutado una previa autenticación.

Seguridad en certificados

Los clientes muchas veces nos preguntan si las aplicaciones web son seguras; Flexygo incorpora la su propio sistema de validación de usuarios, además de la posibilidad de integrarlo con el directorio activo, pero la pregunta que hay que hacerse es: ¿seguimos saliendo por http?

Obtener un login y una contraseña de una aplicación accesible por http es relativamente fácil, en otras palabras, alguien podría estar espiando la “conversación” entre tu ordenador y la página de una manera bastante sencilla, por lo que cualquiera podía obtener alguno de tus datos, algo crucial si hablamos de servicios en los que manejamos dinero, documentación sensible o interesante para la competencia. Por ello, es recomendable habilitar las aplicaciones web solo por https.

Cuando una dirección comienza por https://, el ordenador está conectado a una página con un lenguaje codificado, a prueba de invasores y con mayor seguridad. Es un modo seguro, que ofrece ciertas garantías, pero no es infalible.

Habilitar HTTPS es un proceso sencillo pero que tiene un coste que es el de comprar un certificado para el dominio que se está montando. Este coste varía en función de la  empresa certificadora a la que se le compre, si es un certificado para un dominio, subdominios etc. Los hay con pago anual, bianual etc. Se distinguen tres tipos de certificados:

Firmados por una entidad emisora de certificados (CA)

Indicados para sistemas de producción  especialmente en los casos en los que van a acceder usuarios externos a la aplicación. Por ejemplo, en los casos en los que el servidor no esté protegido por un firewall y se pueda acceder a él en Internet. Garantiza a los clientes externos que se haya verificado la identidad del sitio web.

Certificados de dominio

Si el servidor está protegido por un firewall y no es posible utilizar un certificado firmado por una entidad emisora de certificados, se puede utilizar un certificado de dominio.  Es un certificado interno firmado por la entidad emisora de certificados de la organización. Éstos ayudan a reducir el coste de la emisión de certificados y facilitan la implementación de los certificados, ya que estos se pueden generar rápidamente en la organización para un uso interno de confianza.

Autofirmados (sin coste)

Son aquellos que están firmados sólo por el propietario de la página web. Se utilizan en sitios web que solo están disponibles para los usuarios en el interior de una organización de la red (LAN). Si se comunica con un sitio web que está fuera de su propia red y que utiliza un certificado autofirmado, no tendrá forma de comprobar que el sitio que ha emitido el certificado es realmente quien pretende ser y no uno malicioso.

 

En cada caso, se debe optar por el que más convenga dependiendo del tipo de cliente y el uso que se le esté dando a la aplicación. Su coste es muy pequeño comparado con la seguridad de los datos y por eso, desde fábrica os recomendamos estandarizar esta práctica.

Además, teniendo en cuenta la última actualización de Google a principios de este año 2018, sobre el tratamiento de páginas webs: el uso de cualquier protocolo de comunicación que no recoja las premisas de seguridad mencionadas anteriormente, probablemente sufra las consecuencias de este buscador.

Detalles como éstos son los que hacen que Flexygo sea una herramienta cada día más potente y por ello, que cada vez sean más los clientes que confían en ella el desarrollo de sus proyectos. 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Comparte esta noticia

Facebook
Google+
Twitter
LinkedIn

Noticias recientes