Modelado de amenazas en el contexto de laindexación de páginas y propuesta de inclusión en

el ENSChema Alonso Cebrián

ESCETUniversidad Rey Juan Carlos

Email: chema@informatica64.com

Antonio Guzmán SacristánDATCCCIA

Universidad Rey Juan CarlosEmail: antonio.guzman@urjc.es

Gonzalo Álvarez MarañónInstituto de Física Aplicada

Consejo Superior de Investigaciones CientíficasEmail: gonzalo@iec.csic.es

Enrique Rando GonzálezDepartamento de Informática

Delegación de empleo de la Junta de AndalucíaEmail: enrique.rando@juntadeandalucia.es

Resumen—Este trabajo analiza las amenazas derivadas de lasmalas prácticas en la gestión de técnicas SEO para indexaciónde páginas web, así como las vulnerabilidades y ataques que sepueden derivar de ellas. A partir de este análisis se ha propuestoun conjunto de cinco normas que deben resultar básicas parael desarrollo seguro de la gestión de indexación. Además, se hapropuesto la adaptación de estas normas al Esquema Nacionalde Seguridad.

I. INTRODUCCIÓN

La correcta indexación de un sitio web por los motores debúsqueda reviste una importancia capital para contar con unapresencia sólida en Internet. Con el fin de mejorar el posi-cionamiento de un sitio web en la página de resultados de unbuscador se utilizan las denominadas técnicas de optimizaciónpara motores de búsqueda (Search Engine Optimization, SEO).Entre la gran variedad de técnicas SEO, se incluyen la correctaconfiguración de los archivos robots.txt [1] y sitemap.xml [2]para indicar a los buscadores qué indexar y qué no dentrode un sitio web. La incorrecta configuración de estos archivospuede acarrear consecuencias negativas desde el punto de vistade la seguridad y del rendimiento de un sitio web.

El viernes 29 de enero de 2010 se publicó en el BOE elReal Decreto 3/2010, de 8 de enero, por el que se regula elEsquema Nacional de Seguridad (ESN) en el ámbito de laAdministración Electrónica [3]. El ESN nace con el objetivode crear las condiciones necesarias de confianza en el uso delos medios electrónicos en las relaciones de los ciudadanoscon las Administraciones públicas. Se limita a establecer losprincipios básicos y requisitos mínimos que permiten unaprotección adecuada de la información y los servicios, enrespuesta al Art. 42.2 de la Ley 11/2007, de 22 de junio, deacceso electrónico de los ciudadanos a los servicios públicos[4]. Con ello, se logra un común denominador normativo,constituido por los principios básicos y requisitos mínimospara una protección adecuada de la información [5].

En el extenso Anexo II, el ENS proporciona medidas de

seguridad concretas estructuradas en tres grandes grupos (or-ganizativas, operacionales, de protección), los cuales puedenestar a su vez divididos en más subgrupos. Aunque existe unacategoría destinada a la protección de servicios y aplicacionesweb, no se tratan específicamente los posibles problemas deseguridad derivados de una deficiente configuración de losarchivos robots.txt y sitemaps.

El objetivo de este trabajo es exponer estos problemas y pro-poner unas guías de buenas prácticas de cara a combatirlos, lascuales podrían añadirse o complementar las recomendacionesdel ENS.

El trabajo está estructurado de la siguiente forma: en laSec. II se realiza un modelado de amenazas sobre los riesgosderivados de la incorrecta indexación de páginas web; enla Sec. III se ofrecen una serie de recomendaciones paraprotegerse frente a los riesgos identificados; en la Sec. IV seadaptan estas recomendaciones al formato del ENS; la Sec. Vconcluye el trabajo.

II. MODELADO DE AMENAZAS EN EL CONTEXTO DE LAINDEXACIÓN DE PÁGINAS

El modelado de amenazas ayuda a identificar amenazas,ataques, vulnerabilidades y contramedidas con el fin de mejo-rar la gestión de la seguridad de los sistemas de información.En las siguientes secciones se explican cuáles son las ame-nazas, vulnerabilidades y ataques a los que está expuesto unsitio web con una incorrecta configuración de los archivosrobots.txt y sitemap.xml.

II-A. Amenazas derivadas de malas prácticas en la gestiónde indexación

Se entiende por amenaza el potencial de que un incidente,deliberado o no, comprometa los objetivos de seguridad dela organización [6]. Entre los objetivos de toda organizaciónsuelen figurar el salvaguardar la privacidad de la informaciónsensible, así como asegurar un servicio rápido y de calidad.

En las siguientes secciones se describe cómo estos objetivospueden verse amenazados.

II-A1. Revelación de información sensible sobre la organi-zación: Toda organización posee información sensible: datosde personas físicas y jurídicas, ya sean empleados, clienteso proveedores; datos de sistemas y servicios, como archivosde configuración, registros de actividad y código fuente; etc.Esta información sensible puede revelarse de varias manerasindeseadas y a veces insospechadas.

II-A1a. Metadatos en documentos públicos: La mayoríade software utilizado cotidianamente para generar documentosdigitales de todo tipo realiza la adición automática de datossobre los datos creados (metadatos), los cuales se adjuntande forma más o menos visible a los propios documentos.Estos metadatos pueden revelar información como nombresde personas, organizaciones, fechas de creación, histórico dealteraciones en el documento, rutas de acceso de archivos,dispositivos utilizados en su creación, coordenadas GPS, y unsinfín de datos adicionales.

II-A1b. Errores de sistemas: Todo software está sujetoa errores o condiciones excepcionales que pueden provocarel funcionamiento anormal de una aplicación. Cuando estasexcepciones no se gestionan adecuadamente, pueden revelarinformación sobre el sistema: código fuente, rutas de accesode archivos, tipo de servidores, versión de software instalado,nombres de usuario, cadenas de conexión a bases de datos,consultas SQL que revelan a su vez estructuras internas detablas, etc.

II-A1c. Rutas de acceso: Aunque los archivos robots.txty sitemap.xml están destinados a los robots de búsqueda, sonpúblicos y cualquiera puede descargarlos. Pueden contenerinformación sobre rutas de acceso, las cuales a su vez rev-elan qué tipo de software existe instalado y qué contenidossensibles se desean ocultar.

II-A1d. Contenido de ficheros de configuración: Elfuncionamiento de algunos servidores se configura mediantearchivos de texto, los cuales pueden contener informaciónsensible como nombres de usuario y contraseñas, cadenas deconexión a bases de datos, rutas de acceso de archivos, etc.

II-A1e. Contenido de ficheros de registro de actividad:Registrar en archivos de texto la actividad de un servidorpermite estudiar de qué manera es usado y también reconstruirincidencias. Estos registros o logs pueden contener informa-ción sensible de los visitantes, como por ejemplo los datosintroducidos en formularios.

II-A2. Deterioro del rendimiento: Un objetivo fundamen-tal de todo servicio web es asegurar un buen rendimiento,percibido por los usuarios como la cantidad de tiempo nece-saria para cargar la página solicitada. Los motores de búsquedalegítimos por lo general obedecen el protocolo de exclusiónde robots que indica qué porciones del sitio web debenagregarse a los resultados de búsqueda. Archivos robots.txt ysitemap.xml mal configurados pueden originar una sobrecargade peticiones por parte de estos robots, causando una pérdidade rendimiento.

II-A3. Deterioro de la calidad de servicio: A medida quese incrementa la complejidad de un sitio web y crece sunúmero de páginas, resulta más difícil navegar por ellas yencontrar la información deseada. Un sitio web que carezcade una buena gestión de SEO perderá visibilidad, ya queno aparecerá entre los 10 primeros puestos en las páginasde resultados de los buscadores, y también calidad, porqueaunque aparezca listado, no aparecerán en primer lugar laspáginas más relevantes dentro del propio sitio.

II-A4. Secuestro de resultados de búsqueda: Para asegurarla visibilidad en Internet, es muy importante que la búsquedade palabras relevantes para el servicio prestado por una orga-nización conduzca al sitio web de esta organización. Existentécnicas conocidas como Black Hat SEO [7] que puedenalterar artificialmente estos resultados.

II-B. Vulnerabilidades en la gestión de indexación: Malaconfiguración de robots.txt y sitemap.xml

Se entiende por vulnerabilidad toda debilidad en un sistemaque podría permitir o facilitar la materialización de unaamenaza contra un activo [6]. La forma de disminuir el riesgoa que se ven expuestos los activos de la organización pasapor mitigar o eliminar las vulnerabilidades. En las siguientessecciones se describen cuáles son las vulnerabilidades másimportantes en la gestión de una política de SEO asociadas alos archivos robots.txt y sitemap.xml.

II-B1. Inexistencia de archivos: Los robots de búsquedaindexarán absolutamente todo el contenido al que se tengaacceso públicamente navegando desde la página principal.

II-B2. Archivos excesivamente explícitos: Algunos sitiosweb se sirven del archivo robots.txt para especificar losdirectorios o archivos con información sensible para evitarque sean indexados por los robots de búsqueda. Este archivopuede por tanto llegar a contener información sobre directoriosy archivos confidenciales.

II-B3. Archivos con errores: Un archivo robots.txt malconfigurado puede suponer una sobrecarga para el servidoral obligar a los motores de búsqueda a realizar peticionesinnecesarias y entrar en bucles.

II-B4. Archivos robots.txt y sitemap.xml mal configurados:Como parte de una estrategia de SEO global, deben configu-rarse adecuadamente estos archivos para garantizar una buenavisibilidad en la página de resultados y una buena calidad enlos enlaces mostrados en primer lugar.

II-B5. Archivos muy permisivos: Permiten que Google in-dexe todo tipo de páginas de configuración, manuales, ayudasy mensajes de error, los cuales son expuestos a través debúsquedas conocidas como “google dorks” [8].

II-C. AtaquesSe entiende por ataque todo intento, exitoso o no, de atentar

contra el buen funcionamiento del sistema con el consiguienteincumplimiento de los objetivos de la organización [6]. En lassiguientes secciones se describen sin ánimo de exhaustividadalgunos de los ataques más populares dirigidos contra sitiosweb con una pobre gestión de SEO, capaces de materializarlas amenazas descritas en la Sec. II-A.

User-agent: *Disallow: /administrator/Disallow: /cache/Disallow: /components/Disallow: /editor/Disallow: /includes/Disallow: /mambots/Disallow: /modules/Disallow: /templates/Disallow: /installation/

Figura 1. Ejemplo de archivo robots.txt con exceso de información.

User-Agent: *Disallow: /etcDisallow: /binDisallow: /tmpDisallow: /logAllow: /

Figura 2. Ejemplo de archivo robots.txt con exceso de información.

II-C1. Rutas de acceso: El archivo robots.txt de la Fig. 1contiene un exceso de información al revelar la zona deadministración y el tipo de software usado, ya que la carpetamambots, sumada al resto de carpetas, ofrece el panoramatípico de Mambo [9]. Permitió descubrir el software y la rutade administración para el ataque posterior.

En la Fig. 2 se ofrece otro ejemplo de archivo robots.txtque revela directorios del servidor.

II-C2. Metadatos: Debido a la mala manipulación de losarchivos y a la indexación de Google es posible encontrarusuarios con sencillas búsquedas como la siguiente:http://www.google.com/#hl=es&q=

intitle:"Documents and Settings"site:esministerio &lr=&aq=f&oq=intitle:"Documents and Settings"site:esministerio

Posteriormente, utilizando herramientas como FOCA [10],puede extraerse información adicional sobre los usuarios y laorganización a partir de los documentos encontrados.

II-C3. Ficheros de configuración: El archivo robots.txtde la Fig. 3 contiene numerosas líneas como la mostrada,en la que se revelan los nombres y rutas de archivos deconfiguración. En este caso, los archivos ocultados a losbuscadores contienen las respuestas al juego propuesto porel sitio web.

II-C4. Revelación interna de datos: En teoría, un buscadorsólo indexa documentos accesibles mediante un hiperenlacea partir del nombre de dominio en el DNS. Si existe unfichero sitemap.xml, sigue también todos los hiperenlaces enél dados de alta. Si el documento A no está enlazada desde

Disallow: /educational_games/medicine/dna_double_helix/xmldata.xml

Figura 3. Fragmento de archivo robots.txt.

ningún otro del sitio web, no será indexado por los buscadores.No obstante, si no existe un fichero robots.txt que prohíbala indexación de la ubicación del documento A, un atacanteinterno podría desvelar este fichero realizando una peticiónexpresa de indexación al buscador con la ubicación exacta deldocumento A.

III. BUENAS PRÁCTICAS EN LA GESTIÓN DE INDEXACIÓN

El siguiente apartado recoge algunas de las buenas prácticasque deben ser aplicadas a la hora de exponer un sitio web alas arañas de los buscadores de Internet, con el fin de que lainformación que los buscadores obtengan de la organizaciónsea única y exclusivamente aquella que la organización desea,y que su obtención sea efectiva.

III-A. Por omisión: disallow:* para todos los robots

La presencia o no de un sitio web en los buscadores deInternet debe ser una decisión de la organización a tomar enconsideración con madurez. ¿Tiene sentido que estén indexa-dos los datos de una aplicación que utilizan sólo los empleadosinternos de una organización? ¿Tiene sentido que se indexenficheros y datos privados de aplicaciones en la Intranet? Enel caso que desee la organización tener presencia en losbuscadores, ¿cómo quiere aparecer en ellos? Éstas y muchaspreguntas deben ser contestadas con anterioridad a poner unsitio a disposición de las arañas de los buscadores. Si el sitioha sido puesto en producción sin haber realizado la reflexiónnecesaria para conocer la presencia que se desea tener enellos, debe configurarse un fichero robots.txt que bloquee laindexación de todos los contenidos de la organización.

Debido al gran número de arañas de buscadores, es nece-sario realizar este bloque para todos los agentes:User-agent: *

Disallow: /Este fichero indica a las arañas que no se desea ser in-

dexado y no volverán a intentar indexar el sitio hasta que,manualmente, se pida su indexación. Si no se realiza estaconfiguración antes de poner el sitio en producción, los datosde la organización pueden estar copiados durante una cantidadincierta de tiempo en una gran cantidad de buscadores y seránecesario realizar un borrado manual en todos ellos.

III-B. Auto-catalogación Sí/No

El siguiente paso consiste en realizar la clasificación queclarifique qué contenido debe o no ser indexado por los bus-cadores. Hay que tener en cuenta que debe ser indexado aquelcontenido que sea estrictamente de índole público. En adelantese entiende por ruta pública la ubicación con contenidos que sedesean indexar y por ruta privada la ubicación con contenidosque no se desea que sean copiados a los buscadores.

Para realizar esta catalogación de una forma correcta serecomiendan las siguientes pautas:

Evitar rutas con contenido mixto (público/privado), yaque provocaría o fugas de información o mala presenciaen Internet a la hora de decidir si una ruta es pública oprivada.

User-agent: *Disallow: /cgi-bin/Disallow: /images/Disallow: /aplicaciones/

Figura 4. Ejemplo de un robots.txt para un sitio web.

Evitar contenido no enlazado en rutas públicas, puesalguien que lo descubra o conozca podrá solicitar suindexación manualmente.Evitar rutas privadas conocidas, ya que ubicacionesprivadas del tipo /etc o /home pueden identificar laexistencia de archivos conocidos, sensibles a la seguridadde la información.Evitar rutas privadas explícitas: Una catalogación comoprivada de una ruta como /administrator o /admin puedeayudar a un atacante a descubrir la existencia de unfichero login.hml o login.jsp dentro de esas ubicaciones,debido a lo común de estas arquitecturas en aplicacionesweb.Evitar configuraciones privadas automáticas: ciertas apli-caciones web, como gestores documentales o gestores decontenido, utilizan ficheros robots.txt estándar que sonfácilmente reconocidos.Evitar el uso de rutas privadas a fichero: El pedir la noindexación de un fichero mediante el fichero robots.txtes hacer pública su ubicación, lo que es igual o máspeligroso. Para restringir la indexación de una páginaúnica en rutas mixtas existen soluciones tecnológicascreadas para ello como es la meta etiqueta robots:<meta name=“robots” content=“noindex”>Aplicar la misma configuración para todas las arañas detodos los buscadores de Internet.Proteger las rutas privadas con listas de control de accesosi es posible para evitar cualquier indexación por partede los buscadores.

III-C. Optimización rendimiento y SEO con sitemap.xml

Para optimizar tanto el consumo de recursos que realizanlos robots dentro del sitio como la forma en la que un sitioaparece en ellos se recomienda hacer un correcto uso delarchivo sitemap.xml.

Este fichero, aunque es una modificación al estándar originaldel formato de robots.txt, es de aplicación extendida e indicaa los robots de los buscadores tanto la importancia de losficheros públicos, como su frecuencia de actualización. Ensitios en los que se está indexando información estática conpocos cambios se puede configurar un largo periodo de actu-alización haciendo que el robot no intente indexar nuevamentelos elementos. Además, en sitemap.xml se marca también lafecha de la última actualización y si ésta es anterior a la fechade indexación que tiene el buscador, no se volverán a realizartodas las peticiones de documentos.

Usar un sitemap.xml correctamente ayuda a:1. Mejorar el rendimiento aligerando la carga de los bots

en el servidor web.

2. Mejorar la presencia del sitio en Internet eligiendo cómolos usuarios deben encontrar y entrar en el sitio.

3. Evitar los ataques de hijacking-SEO [7].

III-D. Auditoría

Una vez terminado de catalogarse correctamente el con-tenido entre público y privado, y tras optimizarse consitemap.xml la carga de los robots y la relevancia del con-tenido, se podría plantearse añadir el sitio a los buscadoresmediante la sustitución del archivo robots.txt inicial, quebloqueaba la indexación, por el nuevo archivo generado. Sinembargo, este proceso no debe realizarse hasta que el sitio webhaya recibido una auditoría de seguridad, con el fin de queno se indexen posibles páginas de error como consecuenciade vulnerabilidades de Inyección de SQL o de Cross-SiteScripting (XSS).

Además de la auditoría de seguridad, es altamente re-comendable realizar un análisis tanto del fichero robots.txtcomo de sitemap.xml para comprobar que su funcionamientova a ser el esperado.

Una vez que se haya validado tanto la seguridad del sitiocomo el formato y la estructura de robots.txt y sitemap.xml,podrá ponerse en producción.

III-E. Auditoría constante

Debido a la estructura viva de muchos sitios web de Internet,es necesario incluir dentro de los procedimientos de auditoríala revisión de la presencia del sitio en Internet, mediante lareevaluación de robots.txt y sitemap.xml, como mediante lapresencia de posibles fugas de datos en buscadores de Internetpara, en caso de haberse producido, solicitar el borrado de laURL de los índices de los buscadores.

IV. RECOMENDACIONES PARA ENS

Es preciso determinar la forma en que un sistema estableceun equilibrio entre la importancia de la información quemaneja, los servicios que presta y el esfuerzo de seguridadrequerido. Esto supone categorizar el sistema basándose enla valoración del impacto que tendría sobre la organizaciónun incidente que afectara a la seguridad de la informacióno de los sistemas con repercusión en las funciones de dichaorganización.

Para poder mesurar el impacto de un incidente en laENS se proponen dimensiones de seguridad sobre las queposteriormente se podrán definir métricas de seguridad. Lasdimensiones propuestas son:

a) Disponibilidad (D)b) Autenticidad (A)c) Integridad (I)d) Confidencialidad (C)e) Trazabilidad (T)Cada uno de estos aspectos podrá evaluarse con tres posibles

valores: BAJO, MEDIO y ALTO, según las definiciones delENS [3].

Cuando un sistema maneja diferentes informaciones y prestadiferentes servicios, el nivel del sistema en cada dimensión

será el mayor de los establecidos. De esta forma es posiblecategorizar un sistema de información en tres categorías:BASICA, MEDIA y ALTA en función de que alguna desus dimensiones esté evaluada en BAJO, MEDIO y ALTO,respectivamente.

Una vez que se han definido las dimensiones de seguridadrelevantes y la categoría del sistema a proteger, es posibleelegir qué medidas de seguridad deben implementarse. La se-lección de las medidas de seguridad implicará la identificaciónde los tipos de activos presentes y la determinación de lasdimensiones relevantes así como de su nivel correspondiente.Estas medidas pueden clasificarse en tres marcos diferencia-dos: el marco organizativo, el marco operacional y el marco deprotección. Este último se centra en la protección de activosconcretos, según su naturaleza y la calidad de servicio exigida.

En el Esquema Nacional de Seguridad, a través del anexo II,se propone un sistema tabulado para incluir todos los aspectosque pueden ser estimados como medidas de seguridad. Segúnse ha visto en las secciones anteriores, surge la necesidadde ampliar la propuesta de medidas de seguridad dentro delmarco de protección con un bloque centrado en la protecciónde las técnicas SEO, en línea con el artículo 42 del ENS, enel que se indica que el esquema se debe mantener actualizadode manera permanente. Se desarrollará y perfeccionará a lolargo del tiempo, en paralelo al progreso de los serviciosde Administración electrónica, de la evolución tecnológica ynuevos estándares internacionales de seguridad y auditoría.

En la tabla IV se utilizan las siguientes convenciones:a) Para indicar que una determinada medida de seguridad

se debe aplicar a una o varias dimensiones de seguridaden algún nivel determinado se utiliza “aplica”.

b) « n.a. » significa “no aplica”.c) Para indicar que las exigencias de un nivel son iguales

a las de un nivel anterior se utiliza el signo « = ».d) Para indicar el incremento de exigencias graduado en

función del nivel de la dimensión de seguridad, seutilizan los signos « + » y « ++ ».

e) Para indicar que una medida protege específicamenteuna cierta dimensión de seguridad, ésta se explicitamediante su inicial.

IV-A. Valor por omisión de disallow para todos los robotsDebido al gran número de arañas de buscadores, es nece-

sario realizar este bloque para todos los agentes:User-agent: *

Disallow: /Este fichero indica a las arañas que no se desea ser in-

dexado y no volverán a intentar indexar el sitio hasta que,manualmente, se pida su indexación. Si no se realiza estaconfiguración antes de poner el sitio en producción, los datosde la organización pueden estar copiados durante una cantidadincierta de tiempo en una gran cantidad de buscadores y seránecesario realizar un borrado manual en todos ellos.

IV-B. Autocatalogación: SI/NOLos sistemas deben decidir qué contenidos son privados y

cuales son públicos. A partir de esta clasificación es preciso

determinar si las diferentes ubicaciones del servidor correspon-den a una ruta pública o a una ruta privada.

IV-C. Optimización rendimiento y SEO con sitemap.xml

Para asegurar un rendimiento óptimo del consumo de re-cursos por parte de los robots en un sitio se recomiendauna configuración adecuada del archivo sitemap.xml. Comoresultado se consigue mejorar el rendimiento del sistema,mejorar la calidad de servicio y evitar los ataques de hijackingSEO.

IV-D. Auditoría

Además de las auditorías a las que deberían estar sujetaslas aplicaciones informáticas ofertadas por el sitio es precisorealizar un análisis exhaustivo del fichero robots.txt así comode los ficheros sitemap.xml para validar el comportamientodel sistema y la estructura de estos archivos.

Categoría BásicaAntes de pasar a producción se comprobará el correcto

funcionamiento del sistema.

a) Se comprobará que se cumplen los criterios de seguridadb) Se harán pruebas en un entorno aisladoc) Las pruebas no se harán con datos reales.d) Se diseñará un sistema de auditoría constante que con-

temple la naturaleza viva de muchos sitios web deInternet y que se traduzca en una reevaluación de lasconfiguraciones de robots y sitemap.xml. Para ello sedeben revisar:

a) Posibles fugas de datos en buscadores de Internet.b) Solicitar el borrado de la URL de los índices de

los buscadores en caso de fugas.Categoría MediaSe realizarán las siguientes inspecciones previas a la entrada

en producción:

a) Análisis de vulnerabilidades.b) Pruebas de intrusión derivadas del uso del sistema de

indexación.

Categoría AltaSe debe contemplar la siguiente línea de actuaciones:

a) Análisis de cumplimiento con la calidad de servicio.b) Análisis de rendimiento del sistema.

V. CONCLUSIONES

A partir del modelado de las amenazas asociadas a unaincorrecta configuración de las técnicas de optimización parael indexado de páginas web se ha propuesto una línea deactuación orientada a proporcionar una gestión eficaz de dichastécnicas SEO. Para ello se ha propuesto un conjunto de buenasprácticas y se ha adecuado su redacción al Esquema Nacionalde Seguridad. En esta redacción se ha optado por un enfoquemás conciso de lo que es habitual en la propuesta inicial delENS buscando una mejor aplicabilidad del mismo.

Dimensiones Medidas de seguridadAfectadas BAJO MEDIO ALTO mp Medidas de protección

mp.seo Protección de sitios webC aplica = = mp.seo.1 Valor por omisión:Disallow para todos los robots

C,D aplica = = mp.seo.2 Auto-catalogación si/noD n.a aplica = mp.seo.3 Optimización del rendimiento y SEO con sitemap.xml

Categoría aplica + ++ mp.seo.4 Auditoría

Cuadro ICORRESPONDENCIA ENTRE LOS NIVELES DE SEGURIDAD EXIGIDOS EN CADA DIMENSIÓN Y LAS MEDIDAS DE SEGURIDAD

REFERENCIAS

[1] M. Carl Drott, “Indexing aids at corporate websites: the use of robots.txtand META tags”, Information Processing & Management 38(2), 209–219, 2002.

[2] http://www.sitemaps.org/es/[3] Ministerio de la Presidencia, “Real Decreto 3/2010, de 8 de enero, por

el que se regula el Esquema Nacional de Seguridad en el ámbito de laAdministración Electrónica”, BOE 25(I), 8089–8138, 2010.

[4] Jefatura del Estado, “Ley 11/2007, de 22 de junio, de acceso electrónicode los ciudadanos a los Servicios Públicos”, BOE 150, 27150–27166,2007.

[5] Antonio Martínez, “Esquema Nacional de Seguridad: Seguridad Obliga-toria en las AAPP”, red seguridad 44, 74–76, 2010.

[6] Urs E. Gattiker, The information security dictionary, Kluwer AcademicPublishers, Boston 2004.

[7] Ross A. Malaga, “Search Engine Optimization–Black and White HatApproaches”, In: Marvin V. Zelkowitz, Editor(s), Advances in Computers:Improving the Web, 78, 1–39, Elsevier, 2010.

[8] Johnny Long, Google Hacking, Syngress, 2007.[9] http://www.mamboserver.com[10] http://www.informatica64.com/foca/