autenticación - autorización autenticación : es un modo de asegurar que los usuarios son quién...
TRANSCRIPT
SEGURIDAD EN APLICACIONES WEB CON GENEXUS
SEGURIDAD EN APLICACIONES WEB CON GENEXUS
Autenticación - Autorización
• Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son.
• Autorización: Proceso por el cual se autoriza al usuario identificado a acceder a determinados recursos de la misma.
SEGURIDAD EN APLICACIONES WEB CON GENEXUS
Desarrollando la seguridad
• Crear un manejo de permisos y usuarios al sistema.
• Evitar que personas no autorizadas puedan autenticarse en mi
• Asegurarse que los usuarios solo accedan a la información queestán autorizados a manipular.
aplicativo.
SEGURIDAD EN APLICACIONES WEB CON GENEXUS
Errores Comunes
• No controlar que exista un usuario logueado en todas las pantallas de la aplicación.
• No validar los roles en cada pantalla.
• Confiar en que el usuario llega a las opciones por medio del menu y no usando la URL en el navegador.
• No usar las transacciones o webpanels como parte de mi aplicación y dejarlas accesibles.
• Poner el código o el nombre del usuario logueado en la forma o pasarlo por parámetro.
SEGURIDAD EN APLICACIONES WEB CON GENEXUS
Consideraciones
• No se puede confiar en todas validaciones que se ejecutan a lado del cliente.
• Las validaciones de los datos ingresados se deben de hacer al lado del servidor.
• Las propiedades Visible o Enabled no aseguran que el valor de las variables o atributos no sean modificados.
• No confiar en los registros cargados en las grillas.
SEGURIDAD EN APLICACIONES WEB CON GENEXUS
Como nos ayuda Genexus ?
• Encriptación de parámetros (SiteKey – SessionKey)
• Objeto WebSession
• En las transacciones, las reglas se ejecutan en el servidor y en el cliente
SEGURIDAD EN APLICACIONES WEB CON GENEXUS
Buenas Practicas
• Usar MD5 o SHAP1 para la encriptación de contraseñas (es un algoritmo de reducción criptográfico )
• Obligar al usuario usar contraseñas fuertes.
• Mantener un log de inicio de sesiones que el usuario pueda ver.
• Controlar los intentos de accesos.
HOSTEO DE APLICACIONES DISTRIBUIDAS.NET VS SQL SERVER
DEFINIR PROVEEDOR DE HOSTING
COMPRAR Y REGISTRAR DOMINIO
• Se debe comprar y registrar dominio el cual luego se registrara en la cuenta del proveedor de Servicio.
• Este proceso puede durar varios días.
CONFIGURAR HOSTING
• Se debe configurar Cuenta de Hosting
https://inception.my-hosting-panel.com:8443
• Se debe configurar Base de Datos.
http://mssql.inception.my-hosting-panel.com/mla2005/
INCONVENIENTES
• Hostear aplicaciones en IIS 7.0 o superior
• A partir de IIS 7 se cuenta con la propiedad Managed Pipeline Mode a nivel de Application Pool, cuyo valor puede ser:
1. Classic2. Integrated
Cuando su valor es Classic, el Application Pool de IIS 7.0 funciona de igual forma que IIS
6.0 con respecto a ASP.NET.
Cuando su valor es Integrated, el Application Pool funciona de acuerdo a la nueva implementación de IIS 7.0.