Otro tipo de ataque que podemos recibir es de alguien que consigue acceder a un servidor para poner un c\u00f3digo malicioso en la p\u00e1gina web. Imaginaos este escenario: una tienda online tiene su servidor pirateado (sin saberlo los due\u00f1os) y en la p\u00e1gina en la que se piden los datos de la tarjeta de cr\u00e9dito para hacer el pago, el formulario no env\u00eda los datos s\u00f3lo al comercio, tambi\u00e9n los env\u00eda al pirata. Ya pod\u00e9is ver el resultado, \u00bfverdad?<\/p>\n
\u00bfC\u00f3mo evitar eso?<\/h3>\n
No hay m\u00e9todos 100% infalibles, pero est\u00e1 claro que podemos ponerle las cosas muy d\u00edficiles al pirata. Una manera es usando Content Security Policy (CSP) o Reglas de seguridad de contenido. Consiste en definir reglas, a nivel del servidor web, para definir qu\u00e9 URLs se pueden servir, tanto para las p\u00e1ginas, como para las im\u00e1gines, scripts y un largo etc\u00e9tera. De esta manera, podr\u00edamos definir una regla que diga que s\u00f3lo autorizamos que el servidor ejecute c\u00f3digo que proviene de nuestro propio servidor, de directorios concretos. O que permita mostrar p\u00e1ginas que se han generado mediante un c\u00f3digo que est\u00e1 en otro servidor (Google o Facebook).<\/p>\n
Si os fij\u00e1is en todo lo que carga una p\u00e1gina cuando la visit\u00e1is, os quedar\u00edais sorprendidos, no ya por la cantidad, pero por el origen. Por ejemplo, este blog:<\/p>\n
![\"containBlog\"](\"https:\/\/diego.dehaller.ch\/blog\/wp-content\/uploads\/2020\/05\/2017-01-03_13_37_33-Diego_Blog_Blog_personal_de_Diego_de_Haller_qxpasd-500x442.jpg\" "\\"containBlog\\"")
<\/p>\n
Como v\u00e9is, no s\u00f3lo carga del dominio diego.dehaller.ch, tambi\u00e9n de Gravatar (para los avatares de los comentaristas), de WordPress (para servicios de stats y otros), de Google (para las fuentes true type) y de otros.<\/p>\n
Por ello, si ponemos una regla CSP que dice que s\u00f3lo podremos servir p\u00e1ginas que se han generado en nuestro dominio, la mitad del blog no funcionar\u00eda. As\u00ed que tenemos que ir probando. Afortunadamente, hay un servicio llamado Report URI<\/a> que nos ayuda bastante para analizar los bloqueos generados y tambi\u00e9n crear nuestras reglas CSP. Creado por Scott Helme<\/a>, en cuyo blog podr\u00e9is encontrar muchas explicaciones sobre CSP<\/a> y otras medidas de seguridad, este servicio guarda los logs de los bloqueos que se han hecho con nuestras reglas CSP para poder analizarlas y hacer las correcciones necesarias.<\/p>\n Una buena pr\u00e1ctica, para no tener que ir haciendo prueba-error y durante dicho proceso bloquear el acceso a nuestra web, es usar CSP en modo report-only, de manera que tenemos los logs de lo que nuestras reglas CSP bloquear\u00edan pero sin bloquear realmente las cosas.<\/p>\n Bien, con esta introducci\u00f3n sobre CSP (insisto en que pod\u00e9is aprender m\u00e1s sobre ello en el blog de Scott), paso a detallar qu\u00e9 es lo que he hecho para crear unas reglas CSP que hagan m\u00e1s seguro mi blog sin evitar que funcione correctamente. Aqu\u00ed hago un inciso: no os recomiendo copiar y pegar las reglas que uso para vuestro blog, puesto que cada uno tendr\u00e1 diferentes or\u00edgenes. Seguro que en parte funcionar\u00e1, pero no todo<\/strong>. As\u00ed que os recomiendo que analic\u00e9is bien y vay\u00e1is desbloqueando poco a poco. Usad primero CSP en modo report-only, para que as\u00ed vuestro blog no se quede cojo durante el proceso.<\/p>\n He aqu\u00ed mis reglas CSP:<\/p>\n \u00bfPero c\u00f3mo he llegado a eso? Pues poco a poco, con la ayuda de Reports URI y su generador de reglas CSP<\/a>:<\/p>\n Os recomiendo empezar poniendo para los puntos 1, 2, 3, 4 y 5 ‘self’, para que os quede algo como esto:<\/p>\n Cuando visit\u00e9is vuestra p\u00e1gina, ver\u00e9is que todo va bien, pero viendo los informes de Report URI, ver\u00e9is que bloquea ciertas cosas. No ten\u00e9is m\u00e1s que ir a\u00f1adi\u00e9ndolo al generador, como por ejemplo:<\/p>\n Y as\u00ed hasta que vuestro log est\u00e9 vac\u00edo. Cuando sea el caso, no ten\u00e9is m\u00e1s que activar las reglas, quitando el modo report-only, y os quedar\u00e1 una cosa tal como os puse antes.<\/p>\n Y muchos os preguntar\u00e9is: \u00bfd\u00f3nde tengo que poner este chorizo que he generado? Pues depende del servidor que teng\u00e1is. Yo lo he hecho para un servidor Apache, pero para otros como IIS o Ngynx tambi\u00e9n existe. En Apache, todo est\u00e1 en el fichero httpd.conf, donde pondr\u00e9is esto:<\/p>\n y detr\u00e1s el chorizo:<\/p>\n Reinici\u00e1is Apache, y a probar. Tendr\u00e9is que tener mucha paciencia, probar con varios navegadores – s\u00ed amigos, s\u00ed, aqu\u00ed tenemos el mismo problema que con el c\u00f3digo HTML, que depende del navegador veremos una cosa u otra – y, si no ten\u00e9is dispositivos de varias marcas\/modelos, pedir ayuda – como hice yo con Julen<\/a> (gracias de nuevo).<\/p>\n Como dec\u00eda al principio, todo es esto har\u00e1 que sea m\u00e1s dif\u00edcil que un pirata pueda aprovecharse de vuestro blog para meter su propio c\u00f3digo. Una cosa que tendr\u00e9is que tener en cuenta es que si consigue un acceso completo al servidor, podr\u00e1 quitar las reglas CSP en menos de 30 segundos. O si consigue modificar c\u00f3digo del blog, tampoco valdr\u00e1 de mucho. Pero como digo, complica las cosas un poco m\u00e1s.<\/p>\n \u00a1Saludos!<\/p>\n","protected":false},"excerpt":{"rendered":" Hoy en d\u00eda la seguridad mientras navegamos es no ya importante, es crucial. Cada vez recibimos m\u00e1s mensajes con phishing donde servicios de renombre como Paypal, WordPress, Yahoo y otros nos piden que confirmemos nuestros. N\u00f3tese que pongo piden en cursiva, puesto que realmente no son ellos, pero los malos que intentan enga\u00f1arnos. Generalmente […]<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[2021,2018,2017,2019,2020,535],"class_list":{"0":"post-19007","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-blog","7":"tag-apache","8":"tag-content-security-policy","9":"tag-csp","10":"tag-report-uri","11":"tag-security-headers","12":"tag-seguridad","13":"czr-hentry"},"_links":{"self":[{"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/posts\/19007","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/comments?post=19007"}],"version-history":[{"count":13,"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/posts\/19007\/revisions"}],"predecessor-version":[{"id":19500,"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/posts\/19007\/revisions\/19500"}],"wp:attachment":[{"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/media?parent=19007"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/categories?post=19007"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/tags?post=19007"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"CSP](\"https:\/\/diego.dehaller.ch\/blog\/wp-content\/uploads\/2020\/05\/2017-01-03_13_44_49-_dunrk6.jpg\" "\\"CSP")
<\/p>\nContent-Security-Policy: \"default-src 'self' 'unsafe-inline' gmpg.org *.wp.com secure.gravatar.com fonts.googleapis.com s.w.org; script-src 'self' 'unsafe-inline' 'unsafe-eval' gmpg.org *.wp.com secure.gravatar.com fonts.googleapis.com s.w.org ajax.cloudflare.com diegodehaller.disqus.com maps.google.com maps.googleapis.com api.pinterest.com graph.facebook.com public-api.wordpress.com; style-src 'self' 'unsafe-inline' gmpg.org *.wp.com secure.gravatar.com fonts.googleapis.com s.w.org a.disquscdn.com; img-src 'self' gmpg.org *.wp.com secure.gravatar.com fonts.googleapis.com s.w.org csi.gstatic.com maps.googleapis.com referrer.disqus.com a.disquscdn.com res.cloudinary.com s0.wordpress.com data; font-src 'self' data: gmpg.org *.wp.com secure.gravatar.com fonts.googleapis.com s.w.org fonts.gstatic.com; connect-src *; media-src *; object-src *; child-src *; frame-src *; worker-src *; frame-ancestors 'none'; report-uri https:\/\/dehaller.report-uri.io\/r\/default\/csp\/enforce;\"<\/code><\/p>\n![\"Generate](\"https:\/\/diego.dehaller.ch\/blog\/wp-content\/uploads\/2020\/05\/2017-01-03_13_56_16-Generate_your_CSP_ikmjuk.jpg\" "\\"Generate")
<\/p>\nContent-Security-Policy-Report-Only:: default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self'; font-src 'self'; report-to reportsuri;<\/code><\/p>\n![\"CSP](\"https:\/\/diego.dehaller.ch\/blog\/wp-content\/uploads\/2020\/05\/2017-01-03_14_02_07-Generate_your_CSP_ekaxpz-500x312.jpg\" "\\"CSP")
<\/p>\nHeader set <\/code><\/p>\nContent-Security-Policy: \"default-src 'self' 'unsafe-inline' gmpg.org *.wp.com secure.gravatar.com fonts.googleapis.com s.w.org; script-src 'self' 'unsafe-inline' 'unsafe-eval' gmpg.org *.wp.com secure.gravatar.com fonts.googleapis.com s.w.org ajax.cloudflare.com diegodehaller.disqus.com maps.google.com maps.googleapis.com api.pinterest.com graph.facebook.com public-api.wordpress.com; style-src 'self' 'unsafe-inline' gmpg.org *.wp.com secure.gravatar.com fonts.googleapis.com s.w.org a.disquscdn.com; img-src 'self' gmpg.org *.wp.com secure.gravatar.com fonts.googleapis.com s.w.org csi.gstatic.com maps.googleapis.com referrer.disqus.com a.disquscdn.com res.cloudinary.com s0.wordpress.com data; font-src 'self' data: gmpg.org *.wp.com secure.gravatar.com fonts.googleapis.com s.w.org fonts.gstatic.com; connect-src *; media-src *; object-src *; child-src *; frame-src *; worker-src *; frame-ancestors 'none'; report-uri https:\/\/dehaller.report-uri.io\/r\/default\/csp\/enforce;\"<\/code><\/p>\n