Interesante estudio de varios investigadores del Virginia Tech, en el que ponen en entredicho la calidad del código que podemos encontrar en sitios como StackOverflow y similares, desde el punto de vista de la seguridad.
¿Cuál es el problema?
- Basado en el estudio sobre las preguntas y respuestas dadas en torno al lenguaje y plataforma Java, los investigadores han encontrado multitud de errores en respuestas populares que contienen vulnerabilidades de seguridad. El problema, señalan, no se encuentra en las librerías usadas –que no deja de ser reutilización legítima de código-, sino en que estas no se usan de forma segura, dando lugar a la exposición de riesgo por falta de pericia en su uso.
- Hay ejemplos de todo tipo, como sugerir deshabilitar la protección contra ataques CSRF del framework Spring para resolver un problema en la autenticación o auténticas chapuzas glorificadas acerca de la implementación correcta de criptografía en la aplicación, como la generación de claves sin la entropía adecuada o uso de algoritmos ya desfasados y retirados desde hace mucho, mucho tiempo.
- No nos confundamos. StackOverflow es un recurso maravilloso para un programador; incluso debería tener su propia festividad en el calendario. En él puedes encontrar librerías, consejos, experiencias y algoritmos que jamás hubieses encontrado de no ser porque un colega ya lo ha hecho antes que tú. Lo que realmente sugieren en este estudio es que todo, absolutamente todo, ha de ser pasado por el filtro del sentido común y la capacidad crítica de cada uno. Herramientas que parecen inmunes ante el virus de la prisitis urgentia.
- Cuando ves una respuesta que tiene más de 10 años en la que se hace uso del hash MD5 para almacenar hashes de contraseñas, es evidente que no es la respuesta adecuada. Hemos de ser precavidos, levantar el pie del acelerador y observar con detenimiento tareas que son críticas y podrían devenir en quebraderos de cabeza en un futuro. No en vano, existe código escrito que no ha pasado a revisión en décadas, con vulnerabilidades que estaban allí y de las que nadie se percató.
Más información:
- Secure Coding
Practices in Java: Challenges and Vulnerabilities [PDF] https://arxiv.org/pdf/1709.09970.pdf
