1 Estado del Arte del Desarrollo Seguridad - Toba - Instalador Comité Técnico Consorcio SIU – Mayo 2009 Sebastián Marconi ([email protected])[email protected]

2 Seguridad

3 Análisis vulnerabilidades sistemas web que ejecutan sobre SIU-Toba Basado en recomendaciones OWASP (proyecto abierto de seguridad en aplicaciones Web) http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project Tomadas experiencias guarani3w

4 Vulnerabilidades Críticas Encontradas Durante el DesarrolloEn Producción SQL Injection Compromete información de la base Topología servidores Vulnerabilidades en disposición servidor web y postgres XSS Injection Compromete información del cliente Conexiones inseguras Compromete información de login Manejo de uploads y descargas Compromete sistema de archivos del servidor Configuraciones modo debug Mostrar errores sensibles, navegación lugares privados, indices públicos, etc. Usuario único de conexión a postgres Permite escalar a otros niveles de usuario Clasificadas según el momento de inserción

5 Acciones Correctivas VulnerabilidadAcción SQL Injection Sanear Núcleo Toba ☑ Brindar nuevas primitiva ☑ Sanear Proyectos XSS Injection Manejo de uploads y descargas Sanear Proyectos Usuario único de conexión a postgres Versión 1.5 Toba e Instalador Configuraciones modo debug Controles durante instalación ☑ Conexiones inseguras y topología servidores?

6 Toba

7 Toba: Versión 1.3 (marzo) Mejoras de seguridad: –SQL Injection en el Núcleo –XSS en cuadros y formularios –Chequeo de selección en cuadros –Limite tiempo sesiones por defecto Herramienta de chequeo de convenciones en código Nuevos componentes visuales Soporte para instalador gráfico Solución a bugs y mejoras menores Más detalles en http://desarrollos.siu.edu.ar/trac/toba/wiki/Versiones/1.3.0http://desarrollos.siu.edu.ar/trac/toba/wiki/Versiones/1.3.0

8 Toba: Futuro Versión 1.4 (Julio) Control concurrencia en transacciones (lock optimista) Cerrar versión estable solucionando muchos detalles en API y Edición Versión 1.5 (Diciembre) Soporte personalizaciones Mejoras a esquema de Perfiles Funcionales

9 Instalador Gráfico

10 Instalador gráfico

11 Puente entre Desarrollo (incl. personalización) y Producción Asegura ciertas premisas de seguridad y performance Permite prescindir de un instructivo. Asume la presencia de la pila Apache/Php/Postgres. Soporte via Foro SIU Utilizado en Mapuche y próxima versión tehuelche (2.4.0)

12 Gracias! Foro SIU http://infotec.siu.edu.ar http://infotec.siu.edu.ar Lista de Usuarios Toba [email protected] [email protected] Roadmap próximas versiones http://desarrollos.siu.edu.ar/trac/toba/roadmap http://desarrollos.siu.edu.ar/trac/toba/roadmap