Dolibarr ERP CRM Wiki

Información de seguridad

Securite.png Alertas

Consulte la página Security information para conocer las últimas alertas de seguridad

Art.png Funcionalidades

Dolibarr incorpora los siguientes mecanismos de seguridad:

Encriptación

  • Contraseñas de usuario encriptadas en la base de datos [*7] [*8].
  • Posibilidad de encriptar la contraseña de la base de datos en el Fichero de configuración (conf.php)[*8].
  • Posibilidad de forzar el modo de HTTPS [*9].

Hacks y cracks

  • Soporte del modo register_globals on ó off (muy recomendable modo off) [*2].
  • Soporte del modo safe_mode on ó off de PHP (on recomendado) [*3].
  • Opción de producción para inhibir toda recogida de información técnica como debugeo, info de errores, info de versión (Vea Fichero de configuración) [*6]
  • Sistema de protección anti-injection SQL [2*].
  • Sistema de protección anti injection XSS (Cross Site Scripting)[*1].
  • Sistema de protección anti CSRF.
  • Sistema de protección anti SSRF.

Tenga en cuenta que es mejor añadir la protección en la parte del servidor web desactivando la opción Apache 

AcceptPathInfo Off
  • Sistema de protección anti-CSRF (Cross Site Request Forgery) [*5].

Acceso a páginas y ficheros

  • Páginas y contenidos protegidos por un sistema de autorizaciones por grupos o usuarios para cada módulo funcional[*4] [*10].
  • Aislamiento de los archivos almacenados en un árbol diferente al de la aplicación web (es decir, no puede descargar sin pasar por el envoltorio Dolibarr) [*3] [*10].
  • Sistema de protección anti scan dir (toda carpeta contiene un fichero index para limitar la visibilidad si el servidor web tiene la opción "Indexes" activada) [*3].

Protección login

  • Retardante contra la fuerza bruta en la página de acceso [*7].
  • Código gráfico opcional anti-robot (CAPTCHA) en la página del login [*7].
  • Ningún rastreo de contraseña en los logs (técnicos o funcionales) [*7].
  • Sistema de auditoría de inicio de sesión permanante Dolibarr, tanto para los inicios de sesión éxitosos o como para los inválidos.

Virus

  • Posibilidad de insertar un control antivirus para los archivos subidos (sólamente linux) [*3].


(*X) Este mecanismo corresponde al número crítico X del ranking Top Ten de OWASP.

Retrieved from "https://wiki.dolibarr.org/index.php?title=Información_de_seguridad&oldid=56957"