¿Seguridad frameworks javascript (React, Vue, etc) - Un usuario puede modificar el código?

  • Autor Autor CosmicBetelgeuse
  • Fecha de inicio Fecha de inicio
C

CosmicBetelgeuse

Beta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Cualquier usuario puede, mediante el inspector del navegador (por ejemplo), modificar datos de una web.

Se que los datos que envía el usuario a través del navegador (formularios, etc) se deben volver a validar en el servidor, sin embargo, existen muchos otros datos (calculos, etc) que solo se hacen en el cliente.

¿Los datos que maneja un framework javascript (tipo React o vue) estan seguros, o por el contrario, cualquiera puede modificar el código?

Gracias.
 
Pueden modificar lo que quieran desde la consola del navegador, pero la verdad es que desde la consola muy difícilmente en estos tiempos se compromete la seguridad de un sitio (Sin importar que framework use).

En todo caso, si hacen algún cambio en el sitio será para el propio deleite de quien lo esta haciendo, pero no afectara al resto de los usuarios que están visitando el sitio.
 
Interesante el tema, cuales son las medidas de seguridad que generalmente un desarrollador debe considerar si en su caso no utiliza ningun Framework?

Por ejemplo, ahora mismo estoy desarrollando en php puro, sé lo básico de las sesiones, pero pensaba en contratar en alguien que limpiara y diera mejor seguridad al sitio.
 
¿Por qué harías cálculos importantes que afecten al negocio en el frontend?
 
Si lo transpilas para producción, es más complicado que alguien pueda hacer uso de tu código, siempre y cuando actualices constantemente tus dependencias, ya que salen vulnerabilidades constantemente.

Además, lo que realmente se debe verificar es colocar suficientes validaciones para evitar los ataques más comunes (XSS, clickjacking, JWT hijack), y la mayoría son ajustes a nivel servidor (CSP, WAF) o que tiene que ver más con el backend (CORS, throttling, CSRF, inyecciones, etc).

Dale un vistazo a esta página de la OWASP, contiene mucha información útil.

owasp.org

Attacks | OWASP Foundation

Attacks on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.
owasp.org owasp.org
 
RobGe dijo:
Interesante el tema, cuales son las medidas de seguridad que generalmente un desarrollador debe considerar si en su caso no utiliza ningun Framework?

Por ejemplo, ahora mismo estoy desarrollando en php puro, sé lo básico de las sesiones, pero pensaba en contratar en alguien que limpiara y diera mejor seguridad al sitio.
Hacer clic para expandir...
Yo también soy de programar php puro pero al pasar el tiempo he decidido que si un proyecto amerita crud, cosas más complejas o manipular datos sensibles, es mejor usar un framework que ya tiene todos esos implementos de seguridad. Cómo por ejemplo, Laravel, yii, Django, y muchos más.

Esto porque puede en el futuro, esos datos filtrarse por error humano de nosotros.
 
Los calculos se hacen en el servidor, todo lo que impacta en el negocio tienen que hacerse en el servidor, el cliente solo es para presentacion del usuario. Quizas vos podes hacer calculos pero es para facilitar la experiencia del usuario, por ejemplo: le das opciones por periodo de contratacion y cantidad de tiempo, en base a eso le aplicas un descuento, eso se lo aplicas en el front para que el usuario vea rapido cual seria el valor que tiene que pagar pero al server no mandas el resultado de ese calculo, mandas la opcion y cantidad de tiempo seleccionados.
 
AdonisC dijo:
Yo también soy de programar php puro pero al pasar el tiempo he decidido que si un proyecto amerita crud, cosas más complejas o manipular datos sensibles, es mejor usar un framework que ya tiene todos esos implementos de seguridad. Cómo por ejemplo, Laravel, yii, Django, y muchos más.

Esto porque puede en el futuro, esos datos filtrarse por error humano de nosotros.
Hacer clic para expandir...
Usar un Framework para un crud o para cosas básicas es muy pesado considero, pero entiendo la referencia. Considerando que el uso de framework tambien muchas veces hacen demasiado pesado el desarrollo de una web básica, ejemplo un blog, algo que puede hacerse con php puro, creo que no es tan necesario el uso del Framework. Simplemente quisiera aprender mucho más de las seguridades que se deben de tomar para poder hacer una app web segura.
 
Hay que estar conectado o registrado para responder aquí.
Atrás
Arriba