Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién...
-
Upload
purificacion-casado-alcaraz -
Category
Documents
-
view
228 -
download
0
Transcript of Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién...
![Page 1: Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por.](https://reader036.fdocuments.net/reader036/viewer/2022062519/5665b4a91a28abb57c9302a3/html5/thumbnails/1.jpg)
SEGURIDAD EN APLICACIONES WEB CON GENEXUS
![Page 2: Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por.](https://reader036.fdocuments.net/reader036/viewer/2022062519/5665b4a91a28abb57c9302a3/html5/thumbnails/2.jpg)
SEGURIDAD EN APLICACIONES WEB CON GENEXUS
Autenticación - Autorización
• Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son.
• Autorización: Proceso por el cual se autoriza al usuario identificado a acceder a determinados recursos de la misma.
![Page 3: Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por.](https://reader036.fdocuments.net/reader036/viewer/2022062519/5665b4a91a28abb57c9302a3/html5/thumbnails/3.jpg)
SEGURIDAD EN APLICACIONES WEB CON GENEXUS
Desarrollando la seguridad
• Crear un manejo de permisos y usuarios al sistema.
• Evitar que personas no autorizadas puedan autenticarse en mi
• Asegurarse que los usuarios solo accedan a la información queestán autorizados a manipular.
aplicativo.
![Page 4: Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por.](https://reader036.fdocuments.net/reader036/viewer/2022062519/5665b4a91a28abb57c9302a3/html5/thumbnails/4.jpg)
SEGURIDAD EN APLICACIONES WEB CON GENEXUS
Errores Comunes
• No controlar que exista un usuario logueado en todas las pantallas de la aplicación.
• No validar los roles en cada pantalla.
• Confiar en que el usuario llega a las opciones por medio del menu y no usando la URL en el navegador.
• No usar las transacciones o webpanels como parte de mi aplicación y dejarlas accesibles.
• Poner el código o el nombre del usuario logueado en la forma o pasarlo por parámetro.
![Page 5: Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por.](https://reader036.fdocuments.net/reader036/viewer/2022062519/5665b4a91a28abb57c9302a3/html5/thumbnails/5.jpg)
SEGURIDAD EN APLICACIONES WEB CON GENEXUS
Consideraciones
• No se puede confiar en todas validaciones que se ejecutan a lado del cliente.
• Las validaciones de los datos ingresados se deben de hacer al lado del servidor.
• Las propiedades Visible o Enabled no aseguran que el valor de las variables o atributos no sean modificados.
• No confiar en los registros cargados en las grillas.
![Page 6: Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por.](https://reader036.fdocuments.net/reader036/viewer/2022062519/5665b4a91a28abb57c9302a3/html5/thumbnails/6.jpg)
SEGURIDAD EN APLICACIONES WEB CON GENEXUS
Como nos ayuda Genexus ?
• Encriptación de parámetros (SiteKey – SessionKey)
• Objeto WebSession
• En las transacciones, las reglas se ejecutan en el servidor y en el cliente
![Page 7: Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por.](https://reader036.fdocuments.net/reader036/viewer/2022062519/5665b4a91a28abb57c9302a3/html5/thumbnails/7.jpg)
SEGURIDAD EN APLICACIONES WEB CON GENEXUS
Buenas Practicas
• Usar MD5 o SHAP1 para la encriptación de contraseñas (es un algoritmo de reducción criptográfico )
• Obligar al usuario usar contraseñas fuertes.
• Mantener un log de inicio de sesiones que el usuario pueda ver.
• Controlar los intentos de accesos.
![Page 8: Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por.](https://reader036.fdocuments.net/reader036/viewer/2022062519/5665b4a91a28abb57c9302a3/html5/thumbnails/8.jpg)
HOSTEO DE APLICACIONES DISTRIBUIDAS.NET VS SQL SERVER
![Page 9: Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por.](https://reader036.fdocuments.net/reader036/viewer/2022062519/5665b4a91a28abb57c9302a3/html5/thumbnails/9.jpg)
DEFINIR PROVEEDOR DE HOSTING
![Page 10: Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por.](https://reader036.fdocuments.net/reader036/viewer/2022062519/5665b4a91a28abb57c9302a3/html5/thumbnails/10.jpg)
COMPRAR Y REGISTRAR DOMINIO
• Se debe comprar y registrar dominio el cual luego se registrara en la cuenta del proveedor de Servicio.
• Este proceso puede durar varios días.
![Page 11: Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por.](https://reader036.fdocuments.net/reader036/viewer/2022062519/5665b4a91a28abb57c9302a3/html5/thumbnails/11.jpg)
CONFIGURAR HOSTING
• Se debe configurar Cuenta de Hosting
https://inception.my-hosting-panel.com:8443
• Se debe configurar Base de Datos.
http://mssql.inception.my-hosting-panel.com/mla2005/
![Page 12: Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por.](https://reader036.fdocuments.net/reader036/viewer/2022062519/5665b4a91a28abb57c9302a3/html5/thumbnails/12.jpg)
INCONVENIENTES
• Hostear aplicaciones en IIS 7.0 o superior
• A partir de IIS 7 se cuenta con la propiedad Managed Pipeline Mode a nivel de Application Pool, cuyo valor puede ser:
1. Classic2. Integrated
Cuando su valor es Classic, el Application Pool de IIS 7.0 funciona de igual forma que IIS
6.0 con respecto a ASP.NET.
Cuando su valor es Integrated, el Application Pool funciona de acuerdo a la nueva implementación de IIS 7.0.