Buenos día, quiero consultarles sobre la seguridad de Guaraní 3. Quisiera saber si el sistema bloquean a los usuarios cuando no coinciden usuarios y contraseña, tanto en el sistema de gestión como autogestión. Además si las claves se guardan cifradas y con qué algoritmo. La idea es protegerlos de bots.
Saludos.
Hola Guillermo,
En autogestión podes configurar la cantidad intentos de login fallidos (por defecto son 3), una vez pasados esos intentos no bloquea sino que te empieza a pedir reCaptcha.
Revisa el archivo instalacion/config.php:
/**
* Configuración de reCAPTCHA 2
* Para obtener el par de API keys ('site_key' y 'secret_key')
* ir a http://www.google.com/recaptcha/admin
* opciones: Son las opciones de Guzzle (http://docs.guzzlephp.org/en/stable/request-options.html)
*/
'captcha' =>
array(
'activo' => true,
'intentos_login' => 3,
'site_key' => '6LfeSwgUAAAAAIwfEadYVIsp_-D8xRHi_qTEGS-x',
'secret_key' => '6LfeSwgUAAAAABXZhiGF0vmABVgyyUZ7eIgk_vLD'
),
Con respecto al reCaptcha, cuando creas una cuenta desde acá le podes configurar el nivel de seguridad.
Las contraseñas usan una combinación de bcrypt y md5 si mal no recuerdo.
saludos.
2
Gracias, me dijiste el sistema autogestión, ¿en el caso de gestión es lo mismo?
Hola Guillermo,
Para gestión podés configurar la cantidad de intentos antes de bloquear al usuario y la ventana de tiempo dentro de la cual se considera al conjunto de intentos como inválidos: desde Toba-Editor, solapa “Conf.”, accedés a “Configuración General > Propiedades” y allí a la solapa “Login”. Fijate que en la sección “Bloquear Usuarios/IP” tenés los parámetros que regulan este comportamiento.
Respecto al algoritmo de cifrado de las claves, es idéntico a autogestión.
Saludos, Florencia.
2
Hola, el tema es que en producción eliminamos la instancia del toba editor. ¿Cómo podemos configurar esos parámetros en producción sin el TOBA EDITOR?
Muchas Gracias
Guillermo,
Lo ideal sería hacerlo en desarrollo.
Como alternativa, esos valores se almacenan en las columnas ‘validacion_intentos’ y ‘validacion_intentos_min’ de la tabla ‘apex_proyecto’ dentro del esquema correspondiente a la instancia Toba de la base de datos (por defecto, ‘desarrollo’).
Saludos, Florencia.