miércoles, 11 de julio de 2007

No se debe usar Javascript únicamente para ahorrar tiempo de proceso en el servidor.

En muchos sitios de internet leo que se justifica la utilización de javascript para ahorrar tiempo de proceso en el servidor. Se llega a la conclusión de que si utilizamos javascript para verificar la integridad de los datos que se envían desde el cliente al servidor ahorramos tiempo de servidor ya que este no tiene que verificar estos datos.
Lamentablemente esto lo primero que crea son problemas de seguridad , una página web no es más que un cliente con su código abierto al que lo quiera ver cuando y como quiera, rápidamente se puede ver como se hacen las peticiones al servidor y todos los parámetros que se pasan. Además no tenemos la seguridad de que el javascript sea anulado en el navegador o que de forma maliciosa se anule.
Por lo tanto no deberíamos dar por sentado que las peticiones que nos llegan son todas fiables, lo que nos lleva a la necesidad de verificar todas y cada una las peticiones al servidor que puedan llevar el más mínimo de los riesgos. Y si no queremos tener el más mínimo riesgo de ataque deberíamos revisar todas las peticiones

No hay comentarios: