Información de seguridad
Jump to navigation
Jump to search
Alertas
Para recibir todas las alertas oficiales sobre vulnerabilidades de seguridad conocidas en el proyecto Dolibarr (agregación de CVE oficiales publicados, divulgación privada de vulnerabilidades, problemas del proyecto), puede:
- Consulta la sección “Alertas de seguridad” disponible en esta página https://cti.dolibarr.org,
- O suscríbase al canal RSS en https://cti.dolibarr.org/index-security.rss (por ejemplo con la aplicación Android Feeder) si necesita recibir o ver alertas en tiempo real en su teléfono inteligente.
- Si también desea recibir alertas de seguridad que el equipo del proyecto aún no conoce y que se publican en la base de datos internacional CVE (muy raro, las vulnerabilidades generalmente se informan al proyecto antes de publicarse como CVE y, por lo tanto, ya están disponibles mediante el método anterior), puede suscribirse a un servicio de alerta CVE. Un buen servicio por ejemplo https://opencve.io
Funcionalidades
Dolibarr incorpora los siguientes mecanismos de seguridad:
Encriptación
- Contraseñas de usuario encriptadas en la base de datos [*7] [*8].
- Posibilidad de encriptar la contraseña de la base de datos en el Fichero de configuración (conf.php)[*8].
- Posibilidad de forzar el modo de HTTPS [*9].
Hacks y cracks
- Soporte del modo register_globals on ó off (muy recomendable modo off) [*2].
- Soporte del modo safe_mode on ó off de PHP (on recomendado) [*3].
- Opción de producción para inhibir toda recogida de información técnica como debugeo, info de errores, info de versión (Vea Fichero de configuración) [*6]
- Sistema de protección anti-injection SQL [2*].
- Sistema de protección anti injection XSS (Cross Site Scripting)[*1].
- Sistema de protección anti CSRF.
- Sistema de protección anti SSRF.
Tenga en cuenta que es mejor añadir la protección en la parte del servidor web desactivando la opción Apache
AcceptPathInfo Off
- Sistema de protección anti-CSRF (Cross Site Request Forgery) [*5].
Acceso a páginas y ficheros
- Páginas y contenidos protegidos por un sistema de autorizaciones por grupos o usuarios para cada módulo funcional[*4] [*10].
- Aislamiento de los archivos almacenados en un árbol diferente al de la aplicación web (es decir, no puede descargar sin pasar por el envoltorio Dolibarr) [*3] [*10].
- Sistema de protección anti scan dir (toda carpeta contiene un fichero index para limitar la visibilidad si el servidor web tiene la opción "Indexes" activada) [*3].
Protección login
- Retardante contra la fuerza bruta en la página de acceso [*7].
- Código gráfico opcional anti-robot (CAPTCHA) en la página del login [*7].
- Ningún rastreo de contraseña en los logs (técnicos o funcionales) [*7].
- Sistema de auditoría de inicio de sesión permanante Dolibarr, tanto para los inicios de sesión éxitosos o como para los inválidos.
Virus
- Posibilidad de insertar un control antivirus para los archivos subidos (sólamente linux) [*3].
(*X) Este mecanismo corresponde al número crítico X del ranking Top Ten de OWASP.