Seguridad vs Funcionalidad

Saludos a todos

Es probable que este tema sea algo controversial, sin embargo me gustaría escuchar opiniones al respecto.

Siempre he sido un fanático de la seguridad, sin embargo desde el punto de vista de un proveedor de hosting excederse en la seguridad puede ser malo para el negocio, es uno de esos conflictos Gerente/Técnico, por ejemplo: Existen montones de programas desarrollados en PHP que se niegan a trabajar si el modo seguro está habilitado, o exigen que el usuario otorgue permisos 777 a carpetas, sin contar con los que requieren de funciones como system(), exec() y los que requieren register_global on, o mucho peor, los que requieren todo lo que he nombrado junto.!!!

Muchos otros tendrán problemas con mod_security, sin embargo ESTO NO ES CULPA DEL PROVEEDOR, ES RESPONSABILIDAD DEL DESARROLLADOR, pero el cliente no culpa al desarrollador porque su CMS pobremente diseñado (desde el punto de vista de seguridad) no corre y si corre perfecto en localhost o en otro proveedor (con poca o nula seguridad), culpa es al proveedor de hosting, en pocos palabras, los proveedores que se precian de ofrecer plataformas de hosting bastante seguras, puede terminar en una posición incomoda con sus clientes, para empeorar las cosas, mantener una platafora de seguridad cuesta tiempo y dinero, tiempo y dinero que puede ser mejor invertido buscando clientes o desarrollando actividades más productivas.

Es decir, los proveedores cargan con la responsabilidad de mantener seguras, aplicaciones que no fueron diseñadas para ser seguras y para colmo esto puede que enfade a algunos clientes, además te quitará noches y fines de semanas manteniendo seguras, las aplicaciones desarrolladas por otros.

La única forma de mantener un servidor 99% seguro es tomar todas las precauciones de seguridad y de paso realizar una auditoria a cada programa que los clientes suben o instalan, mientras el proveedor no tenga control sobre el software que el cliente sube, no se puede hablar de servidor seguro.

Recientemente muchas empresas están cambiando sus enfoques de seguridad, la semana pasada estaba en un seminario, y las opiniones eran a favor de proteger el servidor y contener el daño que un usuario pueda causar, en pocas palabras blindar el servidor pero no a los usuarios, solo restringir el daño que un hacker puede lograr si penetra en la cuenta de un usuario, de esta forma se hace al usuario responsable de lo que sube al servidor y este deberá volverse más conciente y evitar aquellas aplicaciones conocidas por su baja seguridad.

En mi caso personal, estoy revisando las políticas de seguridad y pienso desarrollar un sistema modular, en donde por defecto el usuario cuenta con máxima seguridad pero que sea manejable por el mismo, es decir si desea hacer su cuenta menos segura podrá hacerlo, y será su responsabilidad los efectos que esa seguridad relajada puede tener en su cuenta.

Que opinan Ustedes al respecto?

Es mejor una seguridad máxima y si esto incomoda al cliente que busque otro proveedor, o por el contrario dejar que el cliente haga lo que desee y contener el daño que pueda causar?

 

Seguridad máxima, siempre. A todos los niveles.

Contener el daño que el cliente pueda causar: siempre que sea posible y económicamente viable. No siempre es posible ni siempre es posible contener todo. Alternativa: aislar a los clientes potencialmente conflictivos.

Si el cliente no quiere seguridad: que cambie de proveedor. Lamentablemente no se puede satisfacer a todos.

 

Depende de lo que paga el cliente, pero debe de primar la seguridad de ambos servidor y cliente no sólo de uno, si el cliente se incomoda que contrate un servidor virtual y hay puede hacer loq ue quiera, en hosting compartido no se pueden hacer muchas concesiones.

Los clientes potencialmente conflictivos están mejor en la competencia....

 

Exactamente.