En aplicaciones web es común encontrar fallas de seguridad. Entre las causas están: debilidades en las fuentes o en los programas de las que dependen, labores o procedimientos administrativos insuficientes, exceso de confianza de desarrolladores, administradores y usuarios. Algunos lineamientos son:
Confiar 100% en Dios y sólo en Dios.
Emplear aplicaciones de fuentes abiertas pues resultan auditables y sus desarrolladores no se confian en la 'seguridad por inobservabilidad.'
Preferir aplicaciones cuyos desarrolladores acudan a políticas de apertura total en cuanto a fallas de seguridad (ver [aperturatotal]).
Preferir aplicaciones y protocolos que empleen cifrado fuerte. Cifrar datos sensibles.
Emplear aplicaciones que tengan bajo registro de vulnerabilidades y cuyas fallan sean cerradas tan pronto como son encontradas (ver [secunia]).
Mantener actualizadas fuentes, librerías, lenguajes, ambientes de desarrollo y sistema operativo. Es buen hábito actualizar todo esto cada 6 meses.
No emplear claves fáciles. Mejor que sean palabras de más de 8 caracteres que no aparezcan en diccionario alguno, con mayúsculas, minúsculas, números y símbolos. Procurar cambiarlas al menos cada 6 meses.
Documentarse sobre posibles fallas de seguridad en el lenguaje de programación empleado y como cerrarlas. Para el caso de PHP puede consultarse [crashcourse].
Hacer auditorias o verificaciones
de seguridad o de vulnerabilidades de la aplicación. En el caso de
SIVeL además de solicitar auditorias externas públicas que dieron
resultados en el 2008, hemos realizado una verificación interna
con el estándar OWASP ASVS de 2009
(ver en fuentes en doc/owasp-asvs-SIVeL.odt).