Discusión de Seguridad

[nez]

Tanto sobre la seguridad de la aplicación, como lo que hay que hacer para prevenir fraudes

[nez]

Es necesario prevenir los votos falsos, por ej alguien que use la api para mandar los datos de sus "afiliados"

[OrlSan]

Justo en esto estaba pensando. Creo que hay varias medidas que se pueden tomar:

1. Requerir el uso de autenticación por parte de los usuarios que capturen firmas, haciendo el API más segura.
2. Evitar conexiones por HTTP en texto plano. De hecho, Apple prohibe en iOS (salvo si tienes una razón de peso increíblemente fuerte) conexiones inseguras a algún servicio web: Todo debe ir por HTTPS.
3. Que los datos de las firmas recolectadas en las aplicaciones no sean visibles para el usuario que las capturó, salvo en datos generales, por ejemplo "Firma de Orlando S** H** el día 9 de junio." Este es un problema que en firmas en papel no se puede evitar y que considero de mucha importancia, dado que los datos podrían usarse para otros fines.

Adicionalmente a esto hay que definir una política para autenticar usuarios, otorgando un nivel de confianza para permitir subir firmas. No debería bastar bajar la aplicación así como no basta bajar, por ejemplo, Facebook o Whatsapp para empezar a chatear y compartir fotos.

[arielmm]

Se debe contemplar contar con mecanismos que provengan los ataques tipicos de suplantación y denegación del servicio, la arquitectura de la aplicación puede estar basada en servicios a través de un canal seguro y un mecanismo de autenticación basado en contraseñas cifradas mediante llaves públicas/privadas, el uso del servicio estara basado en rl registro, validación de quien quiere usar el servicio (entidades de gobierno, ONGs, ciudadanos) quienes dependiendo del nivel de acceso pueden contar con su llave privada. Al hacer la app tipo SaaS se maneja flexibilidad para quienes se quieran sumar como consumidores y hangan desarrollos a la.medida