Información de seguridad
Jump to navigation
Jump to search
Alertas
Consulte la página Security information para conocer las últimas alertas de seguridad
Funcionalidades
Dolibarr incorpora los siguientes mecanismos de seguridad:
Encriptación
- Contraseñas de usuario encriptadas en la base de datos [*7] [*8].
- Posibilidad de encriptar la contraseña de la base de datos en el Fichero de configuración (conf.php)[*8].
- Posibilidad de forzar el modo de HTTPS [*9].
Hacks y cracks
- Soporte del modo register_globals on ó off (muy recomendable modo off) [*2].
- Soporte del modo safe_mode on ó off de PHP (on recomendado) [*3].
- Opción de producción para inhibir toda recogida de información técnica como debugeo, info de errores, info de versión (Vea Fichero de configuración) [*6]
- Sistema de protección anti-injection SQL [2*].
- Sistema de protección anti injection XSS (Cross Site Scripting)[*1].
- Sistema de protección anti CSRF.
- Sistema de protección anti SSRF.
Tenga en cuenta que es mejor añadir la protección en la parte del servidor web desactivando la opción Apache
AcceptPathInfo Off
- Sistema de protección anti-CSRF (Cross Site Request Forgery) [*5].
Acceso a páginas y ficheros
- Páginas y contenidos protegidos por un sistema de autorizaciones por grupos o usuarios para cada módulo funcional[*4] [*10].
- Aislamiento de los archivos almacenados en un árbol diferente al de la aplicación web (es decir, no puede descargar sin pasar por el envoltorio Dolibarr) [*3] [*10].
- Sistema de protección anti scan dir (toda carpeta contiene un fichero index para limitar la visibilidad si el servidor web tiene la opción "Indexes" activada) [*3].
Protección login
- Retardante contra la fuerza bruta en la página de acceso [*7].
- Código gráfico opcional anti-robot (CAPTCHA) en la página del login [*7].
- Ningún rastreo de contraseña en los logs (técnicos o funcionales) [*7].
- Sistema de auditoría de inicio de sesión permanante Dolibarr, tanto para los inicios de sesión éxitosos o como para los inválidos.
Virus
- Posibilidad de insertar un control antivirus para los archivos subidos (sólamente linux) [*3].
(*X) Este mecanismo corresponde al número crítico X del ranking Top Ten de OWASP.