Información de seguridad

From Dolibarr ERP CRM Wiki
Jump to navigation Jump to search

Securite.png Alertas

Consulte la página Security information para conocer las últimas alertas de seguridad

Art.png Funcionalidades

Dolibarr incorpora los siguientes mecanismos de seguridad:

Encriptación

  • Contraseñas de usuario encriptadas en la base de datos [*7] [*8].
  • Posibilidad de encriptar la contraseña de la base de datos en el Fichero de configuración (conf.php)[*8].
  • Posibilidad de forzar el modo de HTTPS [*9].

Hacks y cracks

  • Soporte del modo register_globals on ó off (muy recomendable modo off) [*2].
  • Soporte del modo safe_mode on ó off de PHP (on recomendado) [*3].
  • Opción de producción para inhibir toda recogida de información técnica como debugeo, info de errores, info de versión (Vea Fichero de configuración) [*6]
  • Sistema de protección anti-injection SQL [2*].
  • Sistema de protección anti injection XSS (Cross Site Scripting)[*1].
  • Sistema de protección anti CSRF.
  • Sistema de protección anti SSRF.

Tenga en cuenta que es mejor añadir la protección en la parte del servidor web desactivando la opción Apache 

AcceptPathInfo Off
  • Sistema de protección anti-CSRF (Cross Site Request Forgery) [*5].

Acceso a páginas y ficheros

  • Páginas y contenidos protegidos por un sistema de autorizaciones por grupos o usuarios para cada módulo funcional[*4] [*10].
  • Aislamiento de los archivos almacenados en un árbol diferente al de la aplicación web (es decir, no puede descargar sin pasar por el envoltorio Dolibarr) [*3] [*10].
  • Sistema de protección anti scan dir (toda carpeta contiene un fichero index para limitar la visibilidad si el servidor web tiene la opción "Indexes" activada) [*3].

Protección login

  • Retardante contra la fuerza bruta en la página de acceso [*7].
  • Código gráfico opcional anti-robot (CAPTCHA) en la página del login [*7].
  • Ningún rastreo de contraseña en los logs (técnicos o funcionales) [*7].
  • Sistema de auditoría de inicio de sesión permanante Dolibarr, tanto para los inicios de sesión éxitosos o como para los inválidos.

Virus

  • Posibilidad de insertar un control antivirus para los archivos subidos (sólamente linux) [*3].


(*X) Este mecanismo corresponde al número crítico X del ranking Top Ten de OWASP.

Retrieved from "https://wiki.dolibarr.org/index.php?title=Información_de_seguridad&oldid=56957"