Hola a todos, soy nuevo, y aprovecho este post (aparte de su finalidad principal) para presentarme, soy Dani, de 24 años y madrileño, Ingeniero Tecnico en Informatica de Gestion por la UC3M, a falta de Inteligencia Artificial (muchas gracias profe, cuanto te quiero (matar)) y PFC, al cual ya le estoy dedicando tiempo y que versa sobre la seguridad en aplicaciones web 2.0.

La primera parte, que es una introduccion y recopilacion de documentacion al respecto, ya esta practicamente finalizada, y fue realizada en colaboracion con una compañera, ella seguira profundizando en la investigacion, y yo por mi parte tenia pensado realizar un pequeño desarrollo relacionado con el tema (la seguridad en web 2.0, como veniamos diciendo), no necesariamente defensivo o "constructivo", pero preferiblemente. Aqui es donde esta el problema, mi tutor y yo andamos mas secos de ideas que el rio de mi pueblo... Se nos habia ocurrido algo sobre certificados ligeros, y un colega de la Uni sugirio hacer algo sobre timestamping, pero en vista de la avalancha de ideas decidimos recabar opiniones en foros especializados (como este) e incluso a los propios interesados (facebook, tuenti, myspace, linkedin, ...), pero resulta que los propios interesados no estan muy interesados y pasan de nosotros...

Asique, yendo al grano, me gustaria que aportarais vuestras opiniones e ideas sobre que es necesario/util desarrollar para estas aplicaciones, si no es mucha molestia.

Quiero aclarar tambien que no vengo aqui a que nadie me haga el trabajo ni a parasitar pidiendo y no dando nada a cambio, tengo intencion de participar activamente en la vida del foro y ayudar en lo que buenamente pueda (de echo creia que tenia ya una cuenta aqui, pero parece que no, o borrais las antiguas)

Gracias de antemano, un saludo chic@s.

Te dejo un texto de Sergio Hernando que he leído y te puede dar un enfoque claro en lo que buscas.

http://www.sahw.com/wp/archivos/2006/11/24/la-web-20-necesita-una-seguridad-20/

Conozco..., pero es generalista y no aporta gran cosa, tambien es posible que no vea mas alla de mis narices ¿que puedo sacar de esa info? Lo primero que se me ocurre es una validacion de codigo estatica para ver que es seguro, pero es complicado y tiene sus limitaciones... ¿Alguna otra idea relacionada con un posible desarrollo?

Gracias por la ayuda.

Busca información sobre SSO (single sign on) y certificados de seguridad, hay varios frameworks útiles por ahí para la implementación de clientes y servidores de autentificación y acceso. Las administraciones públicas ya están trabajando intensamente en este sentido, estando las más competentes fuertemente interesadas en desarrollar esquemas de interoperabilidad eficientes. Incluso algunas firmas privativas se han comprometido ya a la elaboración de estándares interoperables, tal y como empiezan a obligar varias leyes (especialmente la española, pionera en estos menesteres, y de mayor calidad de detalle al respecto).

Otra fuente importante de ideas (para mi gusto personal) puede provenir de las expuestas en El código 2.0. Mucho más filosóficas, pero sin olvidar la naturaleza inicial de la red de redes, así como la evolución que se le prevee en materia de intimidad, libertad, etc. No olvidemos nunca la premisa principal que se plantea en esta tesitura: se trata de un compromiso [equilibrado] entre seguridad y libertad.
En este libro, el autor plantea la posibilidad de granularizar los datos a los que un tercero puede tener acceso. Es decir, nosotros podemos poseer una tarjeta criptográfica con todos nuestros datos protegidos (dni, nombre, nacionalidad, edad, etc.) pero a ellos se podría acceder, no sólo a todos de una vez, sino a "zonas" de información determinadas, en función de la aplicación que se le vaya a dar a la información o a qué organismo o entidad vaya destinada. No tiene por qué haber entidades que dispongan de toda nuestra información, ya que eso va en contra del ejercicio de nuestro derecho a la intimidad.

Hay estudios muy interesantes que ponen en entredicho los actuales mecanismos de autenticación y validación de acceso (como los usados en el dnie británico o en el español). A fin de cuentas, serán estos mecanismos "más simples" los que se usarán en última instancia como pasarela de autentificación inicial para la web 2.0 mediante métodos de SSO. Es decir, mientras estés usando la tarjeta estarás identificado en una serie de sitios (2.0?) que lo soporten, y cosas por el estilo.

No sé, son algunas ideas muy generalizadas, si tienes alguna duda un poco más técnica no dudes en plantearla.


Salu2

Muchisimas gracias, ya mismo me pongo a mirarlo en profundidad.

Un saludo.