Esta traducción proporcionada por StrongLoop / IBM.
Este documento puede estar desfasado respecto a la documentación en inglés. Para ver las últimas actualizaciones, consulte la documentación en inglés.El término “producción” hace referencia a la etapa del ciclo de vida del software donde una aplicación o una API tiene disponibilidad general para sus consumidores o usuarios finales. Por su parte, en la etapa de “desarrollo”, todavía estás escribiendo y probando activamente el código, y la aplicación no está abierta para el acceso externo. Los correspondientes entornos del sistema se conocen como los entornos de producción y desarrollo, respectivamente.
Los entornos de desarrollo y producción se configuran normalmente de forma diferente y tiene requisitos también muy diferentes. Lo que funciona en el desarrollo puede que no sea aceptable en la producción. Por ejemplo, en un entorno de desarrollo, puede que desee el registro detallado de errores a efecto de depuración, mientras que el mismo comportamiento puede suponer un problema de seguridad en un entorno de producción. De la misma forma, en el desarrollo, no es necesario preocuparse por la escalabilidad, la fiabilidad y el rendimiento, mientras que estos son clave en la producción.
Note: Si crees haber encontrado una vulnerabilidad de seguridad en Express, por favor mira nuestras Políticas de Seguridad y Procedimientos.
Las mejores prácticas de seguridad para aplicaciones Express en producción incluyen:
Express 2.x y 3.x ya no se mantienen. Los problemas de seguridad y rendimiento en estas versiones no se solucionarán. No las utilice. Si no ha cambiado todavía a la versión 4, siga la guía de migración.
Asimismo, asegúrese de que no está utilizando ninguna de las versiones vulnerables de Express que se listan en la página Actualizaciones de seguridad. Si las utiliza, actualícese a uno de los releases estables, preferiblemente el más reciente.
Si la aplicación maneja o transmite datos confidenciales, utilice Transport Layer Security (TLS) para proteger la conexión y los datos. Esta tecnología cifra los datos antes de enviarlos desde el cliente al servidor, lo que evita algunos de los ataques de pirateo más comunes (y sencillos). Aunque las solicitudes Ajax y POST no sean obvias visiblemente y parezca que están “ocultas” en los navegadores, su tráfico de red es vulnerable para los rastreos de paquetes y los ataques de intermediarios.
Es posible que esté familiarizado con el cifrado SSL (Secure Socket Layer). TLS es simplemente el siguiente paso después de SSL. Es decir, si antes utilizaba SSL, se recomienda actualizar a TLS. En general, se recomienda Nginx para manejar TLS. Encontrará una buena referencia para configurar TLS en Nginx (y otros servidores) en la wiki de Mozilla Recommended Server Configurations.
Asimismo, una herramienta muy útil para obtener un certificado de TLS gratis es Let’s Encrypt, una entidad emisora de certificados (CA) abierta, automatizada y gratuita proporcionada por Internet Security Research Group (ISRG).
Helmet ayuda a proteger la aplicación de algunas vulnerabilidades web conocidas mediante el establecimiento correcto de cabeceras HTTP.
Helmet es realmente una colección de nueve funciones de middleware más paquetes que establecen cabeceras HTTP relacionadas con la seguridad:
Content-Security-Policy
para evitar ataques de scripts entre sitios y otras inyecciones entre sitios.X-Powered-By
.Strict-Transport-Security
que fuerza conexiones seguras (HTTP sobre SSL/TLS) con el servidor.X-Download-Options
para IE8+.Cache-Control
y Pragma para inhabilitar el almacenamiento en memoria caché del lado de cliente.X-Content-Type-Options
para evitar que los navegadores rastreen mediante MIME una respuesta del tipo de contenido declarado.X-Frame-Options
para proporcionar protección contra el clickjacking.X-XSS-Protection
para habilitar el filtro de scripts entre sitios (XSS) en los navegadores web más recientes.Instale Helmet como cualquier otro módulo:
$ npm install --save helmet
A continuación, utilícelo en el código:
...
var helmet = require('helmet');
app.use(helmet());
...
Si no desea utilizar Helmet, como mínimo, inhabilite la cabecera X-Powered-By
. Los atacantes pueden utilizar esta cabecera (que está habilitada de forma predeterminada) para detectar las aplicaciones que ejecutan Express e iniciar ataques con destinos específicos.
Por lo tanto, se recomienda desactivar la cabecera con el método app.disable()
:
app.disable('x-powered-by');
Si utiliza helmet.js
, lo hace automáticamente.
Para garantizar que las cookies no abran la aplicación para ataques, no utilice el nombre de cookie de sesión predeterminado y establezca las opciones de seguridad de las cookies correctamente.
Hay dos módulos de sesión de cookies de middleware principales:
express.session
incorporado en Express 3.x.express.cookieSession
incorporado en Express 3.x.La principal diferencia entre los dos módulos es cómo guardan los datos de sesión de las cookies. El middleware express-session almacena los datos de sesión en el servidor; sólo guarda el ID de sesión en la propia cookie, no los datos de sesión. De forma predeterminada, utiliza el almacenamiento en memoria y no está diseñado para un entorno de producción. En la producción, deberá configurar un almacenamiento de sesión escalable; consulte la lista de almacenes de sesión compatibles.
Por su parte, el middleware cookie-session implementa un almacenamiento basado en cookies: serializa la sesión completa en la cookie, en lugar de sólo una clave de sesión. Utilícelo sólo cuando los datos de sesión sean relativamente pequeños y fácilmente codificables como valores primitivos (en lugar de objetos). Aunque se supone que los navegadores pueden dar soporte a 4096 bytes por cookie como mínimo, para no exceder el límite, no supere un tamaño de 4093 bytes por dominio. Asimismo, asegúrese de que los datos de la cookie estén visibles para el cliente, para que si se deben proteger u ocultar por cualquier motivo, se utilice mejor la opción express-session.
Si utiliza el nombre de cookie de sesión predeterminado, la aplicación puede quedar abierta a los ataques. El problema de seguridad que supone es similar a X-Powered-By
: un posible atacante puede utilizarlo para firmar digitalmente el servidor y dirigir los ataques en consecuencia.
Para evitar este problema, utilice nombres de cookie genéricos, por ejemplo, con el middleware express-session:
var session = require('express-session');
app.set('trust proxy', 1) // trust first proxy
app.use( session({
secret : 's3Cur3',
name : 'sessionId',
})
);
Establezca las siguientes opciones de cookies para mejorar la seguridad:
secure
- Garantiza que el navegador sólo envíe la cookie a través de HTTPS.httpOnly
- Garantiza que la cookie sólo se envíe a través de HTTP(S), no a través de JavaScript de cliente, para la protección contra ataques de scripts entre sitios.domain
- Indica el dominio de la cookie; utilícelo para compararlo con el dominio del servidor donde se está solicitando el URL. Si coinciden, compruebe el atributo de vía de acceso a continuación.path
- Indica la vía de acceso de la cookie; utilícela para compararla con la vía de acceso de la solicitud. Si esta y el dominio coinciden, envíe la cookie en la solicitud.expires
- Se utiliza para establecer la fecha de caducidad de las cookies persistentes.A continuación, se muestra un ejemplo de uso del middleware cookie-session:
var session = require('cookie-session');
var express = require('express');
var app = express();
var expiryDate = new Date( Date.now() + 60 * 60 * 1000 ); // 1 hour
app.use(session({
name: 'session',
keys: ['key1', 'key2'],
cookie: { secure: true,
httpOnly: true,
domain: 'example.com',
path: 'foo/bar',
expires: expiryDate
}
})
);
Asegurate de que los puntos finales del inicio de sesión están protegidos para convertir los datos privados más seguros.
Una simple y potente técnica es bloquear intentos de autorización usando dos métricas:
El paquete rate-limiter-flexible ofrece herramientas para realizar esta técnica de forma fácil y rápida. Aquí puedes encontrar un ejemplo de protección de fuerza bruta en la documentación.
El uso de npm para gestionar las dependencias de la aplicación es muy útil y cómodo. No obstante, los paquetes que utiliza pueden contener vulnerabilidades de seguridad críticas que también pueden afectar a la aplicación. La seguridad de la aplicación sólo es tan fuerte como el “enlace más débil” de las dependencias.
Desde npm@6, npm revisa automáticamente cada solicitud de instalación. También puedes utilizar ‘npm audit’ para analizar tu árbol de dependencias.
$ npm audit
Si quieres mantener más seguro, considera Snyk.
Snyk ofrece tanto herramienta de línea de comandos como una integración de Github que comprueba tu aplicación contra la base de datos de código abierto sobre vulnerabilidades de Snyk por cualquier vulnerabilidad conocida en tus dependencias. Instala la interfaz de línea de comandos:
$ npm install -g snyk
$ cd your-app
Usa este comando para comprobar tu aplicación contra vulnerabilidades:
$ snyk test
Esté atento a las advertencias de Node Security Project que puedan afectar a Express u otros módulos que utilice la aplicación. En general, Node Security Project es un excelente recurso de herramientas e información sobre la seguridad de Node.
Por último, las aplicaciones de Express, como cualquier otra aplicación web, son vulnerables a una amplia variedad de ataques basados en web. Familiarícese con las vulnerabilidades web conocidas y tome precauciones para evitarlas.
A continuación, se muestran algunas recomendaciones para la excelente lista de comprobación Node.js Security Checklist. Consulte el post de este blog para ver todos los detalles de estas recomendaciones: