La inyección de código desde hace tiempo la conozco pero hasta ahora no la he implementado, gracias por lo de let's encript me vas ahorrar mucho 🎉🎉, chévere si haces un video sobre librerías que faciliten esa aplicación, yo normalmente he trabajado con .net, Java y js(express para backend y vue front)

Agregaria tener cuidado con los logs. Evitar loguear información sensible, o si es necesario aplicar una máscara. Muchas veces ponemos logs de debug para ver los inputs y despues ahi quedan, logueandose en texto plano las passwords, secrets, keys, etc.

"tu backend ya valió". Hahahahahahaa. Es verdad.

Hola Manuel, que calidad de contenido (HD), siempre que veo tus vídeo algo bueno me llevo, o para saber qué tan bien estoy con lo que hago. Como práctica adicional me encontré con que la otra vez en un servicio había que saltear el API key , sumado con el nombre de usuario y la fecha actual , no se qué tan buen práctica sea pero cada vez que había que usar ese servicio daba demasiado asco. Gracias por compartir Manuel un saludo 👋

muy interesante, esto es oro para quien esta aprendiendo y quiere consejos de seguridad

Excelente información, el contenido de tus videos es super valioso. Muchas gracias por compartir

Excelente video, claro y concreto. Muchas gracias Manuel

Super buen video, otra seria tener una lista blanca de dominios desde donde te pueden invocar, casos específicos

Tener cuidado con que guardamos en el payload del jwt y no dejar el secret expuesto. Acabo de encontrar este canal, muy completo felicitaciones bro!

Amigo muy buen video. Justo ahorita estoy adentrandome en eso de la seguridad en el consumo de API REST... Una duda como poder evitar que la petición json no sea legible para un atacante y no la pueda interceptar al enviarla a un API REST desde un frontal

Muchas gracias Manuel por un nuevo aporte a la comunidad y por dejar material extra para profundizar!!! Saludos desde Argentina!

Yo agregué otro feacture a mi api y es el siguiente siempre que un usuario se autentica en mi api genero el token y genero otro id único y lo guardado encriptado en mi base de datos y en cada petición que hace el usuario pues valido ese id único en mi caso en específico un usuario no puede estar logueado más de una vez en un dispositivo, haciendo esto me garantiza que siempre habrá una sola session activa y que si un usuario pierde su dispositivo lo que se hace es que esa key única se resetea y automáticamente ya el dispositivo extraviado/ perdido ya no podrá utilizar dicha app

Muchas gracias por el contenido de buena calidad constante. Muy util los consejos. Una cuestión que me surgió es diferenciar entre la utenticación de la aplicación cliente (digamos un fronend en nuxt.js o una app de celular) y la autenticación de un usuario. A esto también se encuentra la cuestión de los endpoints que no requieren autenticación para "invitados" (guests), me parece que habría que agregar que aquí sería importante incorporar algún tipo de throttling para evitar ataques de fuerza bruta en el login, o DoS (Denial of Services) en los demás servicios.

Super. A mi me falta mejorar la sanitización del código. Hasta donde va mi conocimiento en este tema, en el que estoy empezando, no se me ocurre algun consejo que haga falta aún. De acuedo a lo que he investigado, sí tengo entendido que los jwt son las mejor opción para autenticación.

Muy buenos consejos, sabía unos cuantos pero otros no. Gracias

Muy bueno y útil tu canal, felicidades. 🎉 Le agregaría cifrado hibrido

Tambien es bueno exponer las apis detras de proxies inversos oara proteger al servidor q presta el servicio, osar orm aeguras para evitar inyecciones de sql , utilizar dtos para evitar que los usuarios conozcan las estructuras principales de los datos al transferirse. Guardar las keys secretas en los lugares que deberian para que nunca se filtren y esten en una zona segura del servidor, deshabilitar accesos remotos en puntos innecesarios. Etc etc etc

Gracias Manuel , muy bien explicado y de mucha ayuda !

Excelente información, me encantó.

Agradecido por tu video (Y)

¡Consejos buenos y válidos... excelente!

gracias por compartir este conocimiento!!

Fabuloso video Manuel, podrias subir uno que hable de Api Manager y Api Gateway he buscado pero no hay nada

No sabia sobre bleach, buenos consejos.

Class Validator en TypeScript y con NestJS es muy bueno, aprovechando una duda ¿como usar idle con JWT ? Saludos Manuel Zapata ya extrañaba tus videos

Muy buen video Manuel, super el contenido.

Genial. Gracias por la info!

Excelente recomendaciones, nunca he usado la 3,5 y tenía fallas en la 4. Con respecto a la 5ta Recomendación sanitization = desinfección Sigo investigando para conseguir otras sugerencias de seguridad.

Excelente, en mi aplicaciones el concejo 5 siempre lo paso por alto o se me olvida

Excelente video!!! 👍🏻

Excelente, gracias

Excelente video

Vale la pena poner autenticación o JWT a las API si son usuarios no autenticados y se llama desde el cliente? creo que falta validación CORS y API Gateway

que solo se debe permitir el ingreso de datos necesarios, es decir, si tenemos parámetros de entradas en nuestra clase que no se utilizan , no exponerlos , indicar que datos son serializables y validar el dominio de los datos

Muy interesante, por cierto, una API REST es diferente a los Microservicios que tanto escucho ? o son lo mismo?

me falta mejorar en los parametros que no se ejecute el código malicioso como javascritpt y la implementacion de una identidad digital, a traves de la criptografia es un tema muy interesante

Excelente 👌

jwt es muy util pero se pueden robar y hay que implementar un sistema de invalidacion. estaria bueno que alguien explique bien algun mecanizmo de resolucion , Muchos usan invaidar por [ip+userGuid] pero es problema cuando hay un nginx por delante. y por otras cosas saludos

casbin tan dinamico es para el acceso a las api

Pregunta de principiante.. para ssl debo tener obligado?

¿Cómo manejarías el hecho de que un API sea llamdo multiples momentos por el cliente? Ya sea que por que el cliente no tiene validación alguna y le den click muchas veces a un botón o que incluso haya algún tipo de boto haciendo varias llamadas.

* Sanear 👍

He encontrado aplicaciones que envían las credenciaes de base de datos desde el frontend 😭😭😄😄

Okta compro auth0