Usando CSP para incrementar la seguridad de tu sitio web

Hacía ya algún tiempo venía manejando la idea de implementar CSP en mi blog de WordPress. CSP -o Content Security Policy, por sus siglas en inglés- es un estándar que define un conjunto de orígenes pre-aprobados desde los que un navegador puede cargar recursos cuando visita un sitio web. Ayuda a prevenir ataques de Cross Site Scripting (XSS), data injection, entre otros. Cuando el navegador visita un sitio web tiene que cargar fuentes, hojas de estilo, imágenes, scripts, etc. Por ejemplo, este blog utiliza la fuente Open Sans de Google por lo que cada vez que alguien lo visite su navegador estará haciendo una llamada hacia el dominio fonts.googleapis.com. También utiliza las fotos de perfil de Gravatar, a través de secure.gravatar.com. Y así con el resto de los recursos. Para habilitar CSP, el sitio web debe enviar un encabezado HTTP especial llamado Content-Security-Policy (también conocido como X-Content-Security-Policy). Como alternativa al encabezado HTTP se puede implementar CSP utilizando la etiqueta <meta>. Por ejemplo: Podríamos decir que CSP es una suerte de lista blanca de orígenes y, por ende, una forma de prevenir ataques por inyección de código malicioso. Cada plataforma web tiene su forma de manejar los encabezados HTTP. Para WordPress, por ejemplo, …

Read moreUsando CSP para incrementar la seguridad de tu sitio web

Por qué es importante DMARC en una estrategia de e-mail

DMARC (o Autenticación de mensajes, informes y conformidad basada en dominios, por sus siglas en inglés), es un mecanismo de autenticación de correos electrónicos relativamente joven que permite a los remitentes garantizar a sus destinatarios que los mensajes que han recibido fueron originados por su organización. Fue establecido mediante el RFC7489 y publicado por primera vez en Marzo de 2012. Si bien DMARC depende de los mecanismos SPF y DKIM, existen grandes diferencias entre ellos. Mientras que SPF y DKIM están enfocados en lo que conocemos como “SMTP MAIL-FROM” (también llamado envelope-from o 5321.MailFrom, quien especifica la dirección para devolución de mensajes al remitente), DMARC verifica que el dominio del 5321.MailFrom y el de 5322.From (la dirección de correo que vemos en el campo “DE“) se encuentren alineados. Pongámoslo en un ejemplo: Mail-From: [email protected] De: “Frank” <[email protected]> Para: “Andrew” <[email protected]> Asunto: Vencimiento de nombre de dominio – Acción requerida Si el dominio dominiofalso.com tiene correctamente configurado su registro SPF, el servidor de correo de example.com lo tratará como un mensaje “sano” y pasará la prueba de seguridad. Dado que el cliente de correo de Andrew solo le mostrará la dirección en el campo “From“, Andrew creerá que el mensaje proviene de un origen seguro. Sin embargo, si miempresa.com tuviese configurado el registro _dmarc.miempresa.com con …

Read morePor qué es importante DMARC en una estrategia de e-mail