Comentarios de servidor

Uno de los pilares de la seguridad es la confidencialidad, que en pocas palabras significa asegurar que solo la o las personas correctas (que tienen privilegios sobre ella) accedan a la información.

 Una práctica que he visto un par de veces en algunos colegas (bueno, casi todos la hemos hecho alguna vez) es poner comentarios en la vista html.

El gran problema que esto crea es que los comentarios de html son traspasados al cliente, ejemplo:

En la imagen inferior tenemos un comentario html común y corriente

Cuando nuestra página es renderizada al explorador cliente, si vemos el codigo html resultante  veremos que el comentario aparece ahí:

Ahora sustituiremos el comentario html por un comentario de servidor, verán que la diferencia radica en la sintaxis del comentario.

Comentario html:  <!– Recordar que el username es Pepito y la password es P@ssw0rd –>

Comentario de servidor : <%— Recordar que el username es Pepito y la password es P@ssw0rd —%>

la imagen de abajo nos muestra el comentario de servidor en nuestro visual studio

y ahora comprobaremos que nuestro comentario nunca llegó al cliente:

Como dije, la primera regla es no poner datos sensibles en los comentarios, unido a esto una buena barrera es utilizar los comentarios de servidor que evitarán que algún descuido genere alguna brecha de seguridad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *