martes, 6 de diciembre de 2016

Como entender e implementar #HSTS y #HPKP

HSTS y HPKP se han convertido en poco tiempo en mecanismos de seguridad web que programadores, auditores y usuarios debemos conocer. Ésto es una medida más que podemos implementar para el correcto funcionamiento de protocolos https utilizando ciertas configuraciones en los servidores web y compatibilidades con los navegadores.


HTTP Strict Transport Security (o Seguridad de transporte HTTP estricta) HSTS es un mecanismo de política de seguridad web según la cual un servidor web declara a los agentes de usuario compatibles (por ejemplo, un navegador web) que deben interactuar con ellos solamente mediante conexiones HTTP seguras (es decir, en capas HTTP sobre TLS/SSLnotas 1 ). La política HSTS especifica un período de tiempo durante el cual el agente de usuario deberá acceder al servidor sólo en forma segura.

HTTP Public Key Pinning (HPKP) es un mecanismo de seguridad que permite a los sitios web que implementan HTTPS resistir la suplantación por parte de los atacantes utilizando certificados falsos o fraudulentos y los ataques Man-in-the-middle.

En esta primera oportunidad, Diego Espitia @dsespitia en uno de los eventos #11PathsTalks nos muestra una interesante introducción a HSTS y todas las configuraciones que se puede implementar en los diferentes servidores webs.


Por otro lado, hace apenas un par de días, se llevó a cabo una nueva edición de CiberCamp 2016 organizado por INCIBE, allí participaron Carmen Torrano @ctorranog junto a Pablo González @pablogonzalezpe en un taller llamado HSTS & HPKP: Batman y Robin para defender la navegación web. En donde Carmen como Pablo por medio de diferentes ejemplos nos muestra las diferencias entre HSTS y HPKP, los riesgos, vulnerabilidades y algunas cosas más.


Además se encuentran las diapositivas para seguir junto a los chicos el paso a paso de cada una de las demostraciones y los ejemplos que proponen.


HSTS y HPKP son dos temas muy interesantes para continuar investigando, implementarlos y buscar nuevas amenazas.

Saludos!

domingo, 27 de noviembre de 2016

Ciberseguridad en un mundo conectado por @holesec

Movistar MOVE ( www.move.uy ) es un Foro de Innovación y Tecnologías Móvil que se llevó adelante en nuestro país vecino, Uruguay del pasado 5 al 7 de Noviembre en la nueva edición 2016.


Allí estuvieron invitados excelentes conferencistas, hablando de diferentes temáticas y experiencias, sin embargo desde este pequeño espacio, me gustaría invitarlos a la de un gran amigo, Claudio Caracciolo @holesec

Ciberseguridad en un mundo conectado


Les dejo el video del evento MOVE, como siempre Claudio compartiendo muy buena información, comentando sobre sus últimos proyectos y explicando de una forma muy simple todos los problemas que vivimos en estos últimos meses gracias a los DDoS y los dispositivos IoT.

Estoy seguro que no te lo vas a perder ...


Finalmente, agradezco a Claudio nuevamente por colaborar con "Máxima Seguridad en WordPress" y escribir el Prólogo y brindarme todo su apoyo y su confianza!

Saludos!

jueves, 17 de noviembre de 2016

Máxima Seguridad en WordPress @0xWORD

Ya se encuentra a la venta mi primer libro escrito para la editorial 0xWORD llamado "Máxima Seguridad en WordPress"


Máxima Seguridad en WordPress


En él se van a encontrar con muchas recomendaciones, herramientas y técnicas de como una Web creada en WordPress puede ser vulnerada y los mecanismos para solucionarlo y alcanzar los niveles aceptables de seguridad.

Con temas de actualidad, este libro intenta cubrir las necesidades básicas de fortificación de sistemas y trucos para obtener un buen resultado en materia de seguridad sobre WordPress.

Indice de Contenidos



Esta enfocado a personas de todos los niveles de conocimiento y que utilicen wordpress en sus proyectos.

Desde ya, un agradecimiento personal a todas las personas que colaborar en este libro, a Claudio Caracciolo @holesec por tomarse su tiempo y escribir un bonito Prólogo, a Pablo Gonzalez Perez @pablogonzalezpe y Chema Alonso @chemaalonso por hacer realidad este proyecto y todo el equipo de 0xWORD.

El libro está disponible desde ahora en la tienda virtual de 0xWORD y en poco tiempo lo pueden encontrar también a través de los distribuidores en latinoamérica de 0xWord.

Saludos!

Entradas populares