Si bien mod_security nos proporciona una capa más de seguridad en nuestro servidor web Apache, pueden darse casos en los que queden bloqueadas peticiones legítimas que tendremos que dejar pasar por nuestro WAF. Por norma general siempre hay que personalizar o bien las reglas o el comportamiento global del módulo para añadir ciertas excepciones. Algunos… Read More »
Content-Security-Policy (CSP) no es más que un header más (como X-XSS-Protection o X-Frame-Options) que ayuda a mejorar la seguridad de nuestro sitio web. Básicamente con CSP especificamos qué origen puede tener cada tipo de recurso servido en nuestra página. CSP divide los tipos de recursos que puede cargar una web con una serie de directivas:… Read More »
Lenta pero inexorablemente el protocolo HTTPS se está convirtiendo en un nuevo estándar mínimo a cumplir para la mayoría de webs. Los principales navegadores y buscadores como Firefox o Chrome ya vienen anunciándolo hace tiempo. Se trata de una evolución que no sólo afectará a webs de medios de pago, sino también a blogs, periódicos… Read More »
La respuesta la tenemos en los logs de nuestro servidor web Apache o Nginx. Siempre y cuando nuestro formato de logs contenga información sobre el User-Agent que visita nuestra web. Por ejemplo para Apache servirían los siguientes formatos: En el caso de Nginx:
¿Qué tipo de error obtenemos en nuestro navegador cuando visitamos una web con un certificado expirado? ¿Si dicha web contiene contenido mixto con imágenes que se sirven por HTTP? ¿Y si las suites de cifrado no son seguras? Siempre podemos montarnos un servidor web Apache/Nginx y crear certificados con OpenSSL para realizar tests, pero la… Read More »
Ya habíamos visto anteriormente cómo monitorizar el estado del servidor web Apache con mod_status. Dicho módulo nos proporciona información sobre los workers en uso, requests, estado de los workers, nº de threads, nivel de carga, etc… Cuando lo utilizamos y accedemos a la información vía navegador solemos ver: