M

Rexistro

Promocions

Por que .gal

Como .gal

Rexistradores

Axuda

Preguntas frecuentes

Mapa do sitio

Ferramentas

Guías

i.gal

velaqui.gal

DGI

Actualidade

Novas

Comunicación

Historias PuntoGal

Nós

O dominio

O equipo

A asociación

Rexistrar ou revender .gal

Dominio

PuntoGal

Rexistro

Promocións

Por que .gal

Como .gal

Rexistradores

Actualidade

Novas

Comunicación

Historias PuntoGal

Nós

O dominio

O equipo

A asociación

Rexistrar ou revender .gal

Axuda

Preguntas frecuentes

Mapa do sitio

Ferramentas

Guías

Consellos

i.gal

velaqui.gal

02/03/22
Sistemas de seguridade para formularios web

Os formularios son unha das maiores fontes de problemas de seguridade e spam en sitios e aplicacións web, xa que son a principal maneira coa que os usuarios podemos ingresar datos nunha aplicación. Un formulario pouco seguro pode producir problemas diversos, xa sea durante o procesamento dos datos enviados, mediante a incorporación do spam ao sitio web ou a explotación dos sistemas de envío de email do servidor, por poñer varios exemplos.

Por ese motivo é importante prestarles especial atención a fin de mitigar os problemas máis habituais. Existen diversos sistemas que podemos usar para aumentar a seguridade en formularios, que vamos a analizar neste post.

Captchas
Unha das maiores problemáticas dos formularios é que os robots se dediquen a enviar a información, buscando ou explotando vulnerabilidades detectadas. Por iso é fundamentas que nos aseguremos de que son realmente humanos os que están a interactuar cos nosos formularios. Para iso pódese incorporar un sistema captcha adecuado. Existen diversas alternativas no mercado, pero igual que aparecen desaparecen. Unha que perdura e na que podemos confiar é reCaptcha, un servizo ofrecido por Google. Basicamente é un sistema moi amigable para o usuario que moitas veces se valida simplemente premendo un checkbox. Seguro que temos visto ducias de vece o interface de reCaptcha nos sitios web. Ten un aspecto como este:

O sistema de seguridade para formularios reCaptcha é gratuíto na maioría dos casos. Require rexistro para a obtención dun par de chaves, a do sitio web e a chave secreta. Isto podémolo facer facilmente desde a sección «Admin Console» da páxina de re Captcha. Unha vez rexistrados no servizo e tendo dado de alta o sitio web, temos que realizar a programación que nos permita integralo no sistema, pero en ocasións soe ser tan sinxelo como configurar o correspondente plugin no noso CMS.

Existen ducias de plugins para agregar reCaptcha a WordPress. Un dos que ten máis instalacións e está mellor valorado é Advanced noCaptcha & invisible Captcha. Se desenvolvemos con PHP tamén é perfctamente posible integrar reCaptcha a man, pero se nos baseamos neste package terémolo moito máis sinxelo: No-Captcha reCaptcha.

Evitar ataques CSRF
Outro dos males dos formularios son os ataques CSRF (do inglés Cross-site request forgery ou falsificación de petición en sitios cruzados), que se producen ao realizar solicitudes POST desde outros dominios que os ciberdelincuentes aproveitan para apoderarse de sesións abertas sobre os sitios atacados. CSRF baséase xeralmente nun token, que simplemente se valida antes de aceptar o procesamento da información que ven mediante solicitudes POST. A maioría dos frameworks (entre eles Laravel ou Symfony) inclúen por defecto protección anti CSRF, unha razón máis para usalos.

WordPress conta tamén con proteción fronte a este tipo de ataques, pero é importante que o teu plugin a inclúa, pois se non fose así os teus formularios estarían desprotexidos por esta vulnerabilidade habitual. Para mellorar a seguridade dos formularios de contacto recomendamos usar algún plubin coñecido, que asegure mellores estándares de seguridade, como Contact From 7.

Se desenvolves en PHP en non tes demasiada soltura para asegurar a seguridade dos formularios recomendámoste confiar nun package de software libre que aporte unha base de código robusta. Neste sentido unha boa ferramenta de xeración de formularios, tanto para a parte do cliente como a parte do servidor, é Nette Forms.

Validación e saneamento
Por suposto, se es ti que realiza a programación do sitio, é importante que teñas en conta os procedementos necesarios para asegurar que a información que recibes é correcta e non presenta problemas. Para isto é importante validar e sanear. PHP ofrece unha serie de filtros para sanear os datos achegados polos métodos POST e GET. Podes consultalos na páxina de filtros de saneamento. Consulta tamén a páxina de filtros de validación .
Se programamos baixo WordPress, o Codex ofrece unha páxina completa dedicada ás funcións de filtrado e saneamento.

Compartir

Compartir