1. Introducción a Vue.js y Seguridad de Aplicaciones
Hola Vue.js en vivo. Mi nombre es Tyler Clark y hoy daré una charla titulada, Vue.js: Construyendo aplicaciones seguras. Soy un defensor del desarrollo de personal en Auth0 de Okta con nueve años de experiencia en el campo de la tecnología. Discutiré las mayores amenazas de aplicaciones hoy en día, incluyendo ataques de fuerza bruta, relleno de credenciales y phishing. También presentaré soluciones como WebAuthn para la autenticación sin contraseña utilizando biometría.
Hola Vue.js en vivo. En primer lugar, gracias por tenerme aquí. Me alegra estar aquí y hablar con todos ustedes hoy.
Mi nombre es Tyler Clark y hoy daré una charla titulada, Vue.js: Construyendo aplicaciones seguras. Un breve resumen sobre mí, mi nombre es Tyler Clark nuevamente. Soy un defensor del desarrollo de personal en Auth0 de Okta. He trabajado en el campo de la tecnología durante unos nueve años, principalmente en JavaScript, principalmente en el front-end y back-end, pero he hecho un poco de todo para pequeñas empresas hasta empresas de nivel enterprise. Puedes encontrarme en dos lugares, Twitter en I Am Tyler W Clark, también puedes encontrarme en Edcad.io, tengo varios cursos allí, y estaré en el Discord de la conferencia , así que por favor encuéntrame allí y hazme cualquier tipo de preguntas de seguimiento porque estoy seguro de que tendrás algunas al final de esta charla.
Muy bien, esta es una charla rápida, solo tengo unos siete minutos, así que vamos directo al grano. Seguridad es, bueno, no es algo fácil de hablar, especialmente en un período de tiempo de siete minutos, pero haremos nuestro mejor esfuerzo hoy. Quiero hablar sobre algunas de las mayores amenazas de aplicaciones hoy en día que vemos en muchas de estas brechas que ocurren. Tengo un par de soluciones que puedes agregar y aplicar a través de una aplicación Vue, y al final voy a dar algunos enlaces para profundizar un poco más en esto.
Ahora las tres amenazas de seguridad más comunes en las aplicaciones hoy en día son los ataques de fuerza bruta, el relleno de credenciales y el phishing. Los ataques de fuerza bruta básicamente son una cantidad excesiva de intentos y errores que los hackers utilizan para tratar de adivinar tu contraseña. El relleno de credenciales es cuando has utilizado el mismo identificador de correo electrónico o nombre de usuario y contraseña en un sitio, ese sitio sufre una brecha y luego los hackers toman esa información y tratan de acceder a otras aplicaciones que esos usuarios podrían haber utilizado con las mismas combinaciones y tratan de obtener acceso a ellas. Y el phishing es cuando recibes un correo electrónico que parece ser de Amazon, haces clic en el enlace, parece ser una página de inicio de sesión de Amazon, le das tu nombre de usuario y contraseña, y resulta que no es Amazon y acabas de entregar tu nombre de usuario y contraseña.
Mira, las contraseñas son terribles, todos las odian, por eso cosas como 1Password y estos administradores de contraseñas son tan populares porque es una solución integral, se rellena automáticamente, pero es una lástima que todavía tengamos que usarlas hoy en día. Entonces, ¿cuáles son nuestras opciones hoy como desarrolladores en nuestras aplicaciones Vue? Hay tres que quiero mencionar aquí, pero hoy compartiré el código de esta primera opción, WebAuthn, que utiliza biometría como tu huella digital o tu iris para iniciar sesión en una aplicación. Otra opción común es enviar un correo electrónico o un mensaje de texto que contenga una contraseña de un solo uso que los usuarios luego pueden ingresar en tu pantalla de inicio de sesión que automáticamente inicia sesión en los usuarios. Ambas opciones inician sesión automáticamente sin necesidad de una contraseña, por lo que no hay riesgo de que sea vulnerada.
Entonces, ¿qué es WebAuthn? WebAuthn es una abreviatura de la API de Autenticación Web. Está integrado en plataformas como el navegador. Autenticarse con WebAuthn basado en biometría es equivalente a la autenticación multifactor. Básicamente significa que cuando te autenticas una vez, como puedes ver en la diapositiva aquí, no se necesita una autenticación multifactor adicional. La autenticación multifactor significa que alguien usa una contraseña para iniciar sesión y luego también necesita proporcionar un texto y un código para ingresar. La autenticación requiere múltiples factores para ingresar, pero si usas WebAuthn, eso cuenta para ambos. La autenticación sin contraseña basada en WebAuthn es inatacable, de lo que hablé en esa otra diapositiva. Ahora dije que está integrado en plataformas como Chrome, por lo que no es necesario usar alguna solución de identidad como Auth0 para poder usar esto en tu aplicación hoy en día. Está integrado en Chrome. Se utiliza el objeto Navigator.
2. Registro y Autenticación de WebAuthn
Como puedes ver aquí, utiliza la función credentials.create para obtener un desafío de una solicitud al servidor. Luego, pasa la información necesaria sobre el usuario y los tipos de clave pública aceptables al servidor. Después de que el usuario complete el registro, puede iniciar sesión y volver a autenticarse proporcionando una afirmación generada por el método .credentials.get del objeto navigator.
Como puedes ver aquí, utiliza la función credentials.create pasando un código, que te mostraré aquí en un momento. Y podrías estar pensando, ¿cuál es el soporte en esto? Como usar Safari. Tienes usuarios en Edge o Internet Explorer. Aquí tienes un vistazo rápido al soporte del navegador para WebAuthn.
Muy bien, vamos directo al código aquí porque se me está acabando el tiempo. Digamos que tenemos dos botones aquí. Tenemos un botón de registro y un botón de inicio de sesión que estamos usando en nuestro componente. Tiene una función de registro e inicio de sesión.
Primero, hablemos sobre la función de registro. De inmediato, verás que estamos obteniendo un desafío de una solicitud al servidor aquí. Esta es una solicitud al servidor que nosotros controlamos. Un desafío es básicamente solo bytes generados aleatoriamente. Se utiliza para prevenir ataques de reproducción. Esto aquí, este await navigator es de lo que acabo de hablar. Esto está integrado en el navegador, está en el objeto window. Y este es el objeto navigator que proporciona este credentials.create. Verás que dentro de aquí le pasamos un objeto y hay un RP aquí, básicamente significa parte responsable. Este es el responsable de registrar y autenticar a este usuario en particular que está tratando de crear una cuenta. Dado ese usuario, este objeto de usuario será la información sobre el usuario que está registrándose actualmente.
Verás que hay un nombre, hay un ID y hay un nombre de visualización. Y la última pieza requerida en este objeto es pubkey cred params. Dentro de esto verás que es una matriz de objetos que describe qué tipos de clave pública son aceptables para el servidor. Y luego dentro de eso verás un tipo de clave pública y hay un ALG negativo siete. Ese número define qué tipo de algoritmo de firma se utilizará para crear esto. Y luego después de eso hacemos una publicación en la misma ruta, pero esto es una publicación proporcionando la respuesta devuelta por esta credencial.
Ahora, después de que un usuario haya completado el registro de su cuenta, se hayan ido, hayan vuelto y estén listos para iniciar sesión y volver a autenticarse. Durante esta autenticación, el usuario necesita demostrar que es dueño de la clave privada que registraron inicialmente. Lo harán proporcionando una afirmación. Y esto se genera haciendo .credentials.get en el objeto navigator. Esto recuperará la credencial generada durante el registro con la firma incluida.
3. Desafío WebAuthn y Pares de Claves
Este desafío es similar al registro, generado en el servidor. La matriz 'allow credentials' le indica al navegador con qué credenciales autenticar. WebAuthn elimina los flujos basados en contraseñas, creando un par de claves privada y pública seguras. Consulta los enlaces para obtener más información sobre los pares de claves, el soporte del navegador y el SDK de vista de Auth0.
Este desafío aquí es muy similar al registro, proviene de un servidor. Se genera en el servidor, es un conjunto de bytes aleatorios. Y luego, lo último aquí es esta matriz para 'allow credentials'. Esto básicamente le indica al navegador con qué credenciales el servidor desea que el usuario se autentique. Por lo tanto, se pasa el ID de credencial recuperado y guardado durante el registro. Con esta información, luego hacemos una publicación en una ruta que poseemos con esto y el acompañante con la respuesta del navegador.
Muy bien, sé que acabo de decir mucho y gran parte de ese código puede haber pasado por encima de tu cabeza, pero lo que realmente quiero que entiendas es que en un flujo de registro o inicio de sesión basado en contraseñas que tenemos hoy en día, las contraseñas se envían a través de la web a un servidor y se almacenan en la base de datos de esa aplicación. Pero con WebAuthn, con la ayuda de una plataforma como un navegador, creamos un par de claves privada y pública. Esto contiene identificadores para el usuario y la organización, no hay contraseñas involucradas y no se almacenan contraseñas.
Por favor, consulta algunos de estos enlaces aquí para obtener más información sobre cómo funcionan los pares de claves privada y pública, por qué son más seguros y por qué han existido durante tanto tiempo. Ese enlace al soporte del navegador para ver si tu navegador está incluido. También hay un SDK de vista de Auth0 que puedes consultar. Esto te ayudará a instalar WebAuthn rápidamente y utilizar muchos otros factores diferentes. Si deseas profundizar más en WebAuthn y ver parte del código que puedes usar en tu aplicación hoy en día, también consulta ese enlace. Muchas gracias.
