Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por el cual se autoriza al usuario identificado a acceder a determinados recursos de la misma.
Desarrollando la seguridad Crear un manejo de permisos y usuarios al sistema. Evitar que personas no autorizadas puedan autenticarse en mi Asegurarse que los usuarios solo accedan a la información que están autorizados a manipular. aplicativo.
Errores Comunes No controlar que exista un usuario logueado en todas las pantallas de la aplicación. No validar los roles en cada pantalla. Confiar en que el usuario llega a las opciones por medio del menu y no usando la URL en el navegador. No usar las transacciones o webpanels como parte de mi aplicación y dejarlas accesibles. Poner el código o el nombre del usuario logueado en la forma o pasarlo por parámetro.
Consideraciones No se puede confiar en todas validaciones que se ejecutan a lado del cliente. Las validaciones de los datos ingresados se deben de hacer al lado del servidor. Las propiedades Visible o Enabled no aseguran que el valor de las variables o atributos no sean modificados. No confiar en los registros cargados en las grillas.
Como nos ayuda Genexus ? Encriptación de parámetros (SiteKey – SessionKey) Objeto WebSession En las transacciones, las reglas se ejecutan en el servidor y en el cliente
Buenas Practicas Usar MD5 o SHAP1 para la encriptación de contraseñas (es un algoritmo de reducción criptográfico ) Obligar al usuario usar contraseñas fuertes. Mantener un log de inicio de sesiones que el usuario pueda ver. Controlar los intentos de accesos.
Se debe comprar y registrar dominio el cual luego se registrara en la cuenta del proveedor de Servicio. Este proceso puede durar varios días.
Se debe configurar Cuenta de Hosting Se debe configurar Base de Datos.
Hostear aplicaciones en IIS 7.0 o superior A partir de IIS 7 se cuenta con la propiedad Managed Pipeline Mode a nivel de Application Pool, cuyo valor puede ser: 1. Classic 2. Integrated Cuando su valor es Classic, el Application Pool de IIS 7.0 funciona de igual forma que IIS 6.0 con respecto a ASP.NET. Cuando su valor es Integrated, el Application Pool funciona de acuerdo a la nueva implementación de IIS 7.0.