Un sistema completamente seguro es pr谩cticamente un imposible, de modo que el enfoque usado con mayor frecuencia en la profesi贸n de seguridad es uno que busque el balance adecuado entre riesgo y funcionalidad. Si cada variable enviada por un usuario requiriera de dos formas de validaci贸n biom茅trica (como rastreo de retinas y an谩lisis dactilar), usted contar铆a con un nivel extremadamente alto de confiabilidad. Tambi茅n implicar铆a que llenar los datos de un formulario razonablemente complejo podr铆a tomar media hora, cosa que podr铆a incentivar a los usuarios a buscar m茅todos para esquivar los mecanismos de seguridad.
La mejor seguridad con frecuencia es lo suficientemente razonable como para suplir los requerimientos dados sin prevenir que el usuario realice su labor de forma natural, y sin sobrecargar al autor del c贸digo con una complejidad excesiva. De hecho, algunos ataques de seguridad son simples recursos que aprovechan las vulnerabilidades de este tipo de seguridad sobrecargada, que tiende a erosionarse con el tiempo.
Una frase que vale la pena recordar: Un sistema es apenas tan bueno como el eslab贸n m谩s d茅bil de una cadena. Si todas las transacciones son registradas copiosamente bas谩ndose en la fecha/hora, ubicaci贸n, tipo de transacci贸n, etc. pero la verificaci贸n del usuario se realiza 煤nicamente mediante una cookie sencilla, la validez de atar a los usuarios al registro de transacciones es mermada severamente.
Cuando realice pruebas, tenga en mente que no ser谩 capaz de probar todas las diferentes posibilidades, incluso para las p谩ginas m谩s simples. Los datos de entrada que usted puede esperar en sus aplicaciones no necesariamente tendr谩n relaci贸n alguna con el tipo de informaci贸n que podr铆a ingresar un empleado disgustado, un cracker con meses de tiempo entre sus manos, o un gato dom茅stico caminando sobre el teclado. Es por esto que es mejor observar el c贸digo desde una perspectiva l贸gica, para determinar en d贸nde podr铆an introducirse datos inesperados, y luego hacer un seguimiento de c贸mo esta informaci贸n es modificada, reducida o amplificada.
Internet est谩 repleto de personas que tratan de crearse fama al romper la seguridad de su c贸digo, bloquear su sitio, publicar contenido inapropiado, y por lo dem谩s haciendo que sus d铆as sean m谩s interesantes. No importa si usted administra un sitio peque帽o o grande, usted es un objetivo por el simple hecho de estar en l铆nea, por tener un servidor al cual es posible conectarse. Muchas aplicaciones de cracking no hacen distinciones por tama帽os, simplemente recorren bloques masivos de direcciones IP en busca de v铆ctimas. Trate de no convertirse en una.