No te conviertes en un experto en seguridad leyendo libros. Te conviertes en un experto en seguridad al pensar como un hacker.
Pongámoslo de esta manera. Leíste un libro que te dice que tener una contraseña de conjunto de caracteres x con la longitud de caracteres y y que puedes calcular que lleva unos z años para que una supercomputadora tenga fuerza bruta.
Por lo tanto, requiere que sus trabajadores incluyan caracteres como ~ _y \ en su contraseña además de 0-9 y az y que tengan al menos 12 caracteres de largo y que los cambien cada 90 días para estar seguros … Habrá como 0.00000000001 la posibilidad de que alguien se le ocurra. ¡Seguro! ¿Derecho?
¡NO! ¡Sus trabajadores simplemente escribirían ese galimatías en un papel justo al lado de su computadora y los hackers lo saben!
- ¿Qué libros de programación debo leer si soy un principiante en programación y quiero conseguir un trabajo en compañías como Google y Amazon en el futuro?
- ¿Cómo es el libro ‘Head First Java’ para un principiante?
- ¿Qué libro es muy bueno para los conceptos ‘c’ sin la ayuda de otros?
- ¿Cuál es la mejor manera de comprender un libro de programación?
- Cómo leer libros de programación de manera rápida y eficiente
Por lo tanto, le tomaría aproximadamente un día a alguien lo suficientemente inteligente como para entrar a su oficina y leer esas notas en los escritorios de las personas, incluso si su elegante ascensor tiene esas cerraduras NFC (solo pidiéndole a las personas amablemente que las dejen entrar fingiendo ser un cliente) )
Se excusarían al estar en una oficina y la próxima semana, si no tenían suerte al obtener la contraseña de la persona correcta, se pondrían en contacto con su TI a través de Skype y pedirían permisos mientras contaban una historia miserable (sobre por qué el cliente lo necesita) fingiendo ser alguien que trabaja en su lugar (¿y cómo no podrían hacerlo? ¡Ya habrían leído su correo electrónico!). ¡Y el IT los creería solo porque el hacker inició sesión con las credenciales correctas!
Pensando en MVC? Bueno, siempre tenga en cuenta que no importa lo que esté en su ViewModel, no puede confiar en que provenga de SU formulario. También podría ser algo forjado. Así que siempre tenga una validación completa en su lugar. TODO lo que se pasa del lado del cliente, no es confiable. Así que ni siquiera piense en tener páginas como / User / Profile / 10457. Solo pide que alguien pruebe / User / Profile / 0 (que en la mayoría de los casos es la cuenta de host. Entonces, ¿por qué incluso tener una cuenta de host? ¿Por qué incluso tener una interfaz de administrador orientada a la web? Lo que no tienes , no puede ser hackeado!
Pero incluso si su aplicación MVC estaría altamente protegida, es tan buena como su seguridad corporativa. Así que piensa como un hacker y siempre trata de eludir lo que sea que codifiques. Pero no solo eso. También trate de eludir lo que sea que experimente.
Entonces, la próxima vez que pregunte a sus colegas en las líneas de “¿Cuál era la contraseña de la cuenta [correo electrónico protegido] ?” y ellos responden Pregúnteles, ¿cómo saben realmente que fui YO quien preguntó?
¡Porque no lo hacen!
Y eso es seguridad.