Desafortunadamente, hay por qué preocuparse. Existen riesgos de seguridad que afectan a los servidores WEB, a las redes de área local donde están conectados y a los inocentes usuarios de los navegadores.

Los riesgos son más serios desde la perspectiva de los Webmasters (administradores). En el momento en que instalas un servidor WEB, has abierto una ventana a tu red de área local donde toda Internet puede mirar. La mayoría de visitantes se contentarán con ver ventanas, pero unos pocos tratarán de echar el ojo a cosas que no pusiste al alcance de todo el mundo.

Otros, no contentos con ver sin tocar, intentarán forzar las ventanas y arrastrarse adentro. Los resultados pueden variar desde lo meramente vergonzante, como encontrarse una mañana que las imágenes de tu página WEB han sido cambiadas por algo obsceno, al daño ocasionado al ser robada en su totalidad la base de datos de clientes.

Es una máxima en estos entornos que los fallos en el software abren agujeros de seguridad. Es una máxima en los entornos de desarrolladores de programas, que los programas grandes y complejos contienen fallos. Desafortunadamente, los servidores WEB son programas grandes y complejos que pueden (y en ciertos casos se ha probado) contener agujeros de seguridad. Además, la arquitectura abierta de los de los servidores WEB permiten que scripts CGI arbitrarios sean ejecutados en el servidor en respuesta a peticiones remotas. Cualquier script CGI instalado en tu servidor puede contener fallos, y cada fallo es un potencial agujero de seguridad.

Desde el punto de vista de un administrador de red, un servidor WEB representa otro agujero potencial en la seguridad de su red local. El objetivo general en cuanto a seguridad de una red es mantener a los extraños fuera. A pesar de eso, la misión de un sitio WEB es proporcionar al mundo acceso controlado a tu red. La línea de separación es difícil de trazar. Un servidor WEB mal configurado puede proporcionar un agujero al firewall (cortafuegos) del sistema mejor diseñado. Un firewall mal configurado puede hacer inútil un servidor WEB. Las cosas se complican en las intranets, donde el servidor WEB debe de estar configurado para reconocer y autentificar varios grupos de usuarios, cada cual con distintos privilegios de acceso.

Para el usuario final, navegar por el WWW puede parecerle seguro y anónimo. Pues no es así. Los controles ActiveX y los applets de Java introducen la posibilidad de que a través de la navegación se puedan colar virus u otra clase de software no deseado. Los controladores Active también tienen implicaciones para el administrador de red, a tal grado que los navegadores pueden llegar a ser una ruta de entrada que se salte el sistema cortafuegos y entren a la red de área local. Incluso sin contenido activo, el simple hecho de navegar deja un rastro electrónico de los sitios visitados por el navegante, con los cuales, individuos sin escrúpulos pueden reconstruir un perfil muy exacto de los gustos y hábitos del usuario.

Ambos, usuario final y administradores de sitios WEB, deben preocuparse por la confidencialidad de los datos transmitidos vía WEB. El protocolo TCP/IP no fue diseñado pensando en la seguridad; por lo tanto es vulnerable al espionaje en la red. Cuando se transmiten documentos confidenciales del servidor al navegador, o cuando el usuario final envía información privada al servidor en un formulario, alguien más lo puede estar viendo.

Finalmente, existen tres tipos de riesgo:

1. Fallos o problemas de mala configuración en los servidores WEB que permiten el acceso no autorizado de usuarios remotos a:

• Robar documentación confidencial no puesta allí para ellos.

• Ejecutar comandos en la máquina del servidor y con ello modificar el sistema.

• Obtener información acerca del ordenador servidor que permita entrar al sistema.

• Lanzar ataques de bloqueo que dejan la máquina temporalmente inútil.

2. Riesgos en los navegadores:

• Contenido activo que daña al navegador y al sistema del usuario, abre una brecha en la privacidad del usuario o simplemente crea muchas molestias.

• El mal uso de información personal intencionada o inintencionadamente proporcionada por el usuario final.

3. Intercepción de datos enviados desde el navegador al servidor o viceversa mediante una intromisión en la red. Las intromisiones pueden darse en cualquier parte de la ruta entre el navegador y el servidor, incluyendo:

• La red donde se encuentra el navegador.

• La red donde se encuentra el servidor (incluidas las intranets)

• El proveedor de Internet del usuario final.

• El proveedor de nuestro proveeedor.

• Cualquiera de los proveedores regionales de acceso.

Hay que hacer notar que los navegadores "seguros" y los servidores "seguros" están diseñados solamentepara proteger la información confidencial contra las intromisiones en la red. Son los sistemas de seguridad en ambas partes, los documentos confidenciales son vulnerables de ser interceptados.