a
- 0
HTTPS
OWASP=
Qpen Web Applicatiog! g
Security Project
En el desarrollo de nuestras aplicaciones existen diversos lineamientos de seguridad que hay que tomar
‘en cuenta. Los mas importantes se encuentran descritos en el Open Web Application Security Project.
(owas?).
La Fundacién OWASP que gestiona este proyecto, es una comunidad abierta que define y proves
informacion, ademasde herramientas para el desarrollo y la verificacién de sistemas informaticos desde
una perspectiva de seguridad,@) BROKEN AUTHENTICATION
eee
~ =
Dentro del OWASP existen varios proyectos. Uno de los més destacados y con mayor relevancia es el
OWASP Top 10, un documento que trata sobre los riesgos de seguridad mas crticos en las aplicaciones
‘web y méviles.
En uno de los puntos del proyecto habla sobre la Broken authentication donde resalta la importancia de
tener un buen factor de autenticacién,a oe
AUTHENTICATION AUTHORIZATION
GeneXus
ACCESS MANAG
eo @
GeneXus ofrece un médulo denominado Genexus Access Manager (GAM) que resuelve a Autenticacién
‘en forma automstica. Ademasde esta tarea, el GAM también permite solucionar problemas de
Autorizacién, es decir restringir el acceso a distintas partes de la aplicacion, dependiendo de los roles 0
petmisos de cade usuario,
EIGAM también nos proporciona diversos objetos pata administrar todos los problemas de seguridad
relacionados con una aplicacién web o para dispositivos méviles.
Por ejemplo objetos para agregar usuarios, asignar roles, otorgar permisos, et.Enabled Integrated Security
{if Petewcee
@ Jamey
ley
atmo
Enact
Tienes
Ey asi
Ay Tender
Hiren
Ea doe
2 Fle x|
La activacién de los controles de seguridad se realiza automaticamente mediante la configuracién de la
Propiedad
Enableintegrated Security, que podemos encontrar enla ventana de Preferences,
seleccionando la version activa de nuestra KB.Feary —*
ect nee eee ae aa Importacién de objetos GAM
=
ee
a ebeneterat ase cs On
Al cambiar la propiedad Enabled integrated Security a True se importaranlos componentes del GeneXus
Access Manager a nuestra KB. Bajo el RootModule, veremos carpetas que contendran varios objetos.
‘encargados de proveer las funcionesdel GAM.[me x
Sa Integrated Security Level
n
e
a
e
“a
Una vez habilitada la seguridad se puede seleccionar el nivel de la misma utilizando la propiedad
Integrated Security Level, que podemos encontrar a nivel de la versin de la KB o de cada objeto. El valor
por defecto deesta propiedad es Authentication.
Algunas opciones para el nivel de seguridad de nuestra aplicacién son
NNinguna, es decir no aplica ningin mecanismo de seguridad.
Autenticacién, donde el usuario necesita solo estar logueado para acceder
Autorizacién, donde el usuario necesita ademés de estar logueado, tener los permisos necesarios pare
acceder a cada parte de la aplicaciononal
= «eB
"6
GeneXus
AGER Team Devgan
+ Hi Pours
Rebuild All
Una vez aplicada la seguridad y el tipo de nivel que utilizaré nuestra aplicacién, necesitamos dar un
Rebuild all a nuestra KB para que se cree la base de datos que utilizaré el GAM,User Name: admin
Password: admin123
Después de que activamos la seguridad, al ejecutar nuestra aplicacié
tanto en la parte web comosmart devices
Como aiin no hemos configurado usuarios, podemos utilizar un usuario local con la siguientes
‘credenciales: usuatio:admin y contrasefia: admini23,
se desplegaté una pantalla deloginAcceso al panel GAM HOME
Para poder acceder a la consola de administracién del GAM, debemos acceder al panel GAM HOME que
‘estar listado en elDeveloper Menu. Este panel es el objetobackend principal del GAM donde podernos
‘configurar los usuarios y los permisos de nuestra aplicacien.DEMO
\Veamos una pequefia demostracién.Ben
EADY
To EXPLORE
warm tl
a & cute illires
The new age of EXPLORATION “2.
DEMO: bttosif/voutu be/bhoWSZutnkc }Tipo de autenticacién
Local
=
Social Media
HO WG
Web Service ‘tp
u
0am >
Hasta ahora solo hemos utilizado la autenticacién de los usuarios locales pero podemos utilizar otro tipo
de autenticacién como Facebook, Twitter, Google o de algun servicio externo.
Cabe destacar que la version 16 de GeneXus puede realizar la autenticacién con cualquier proveedor que
utilice Oauth2.0,
‘OAuthes un esténdar para otorgar acceso a los sitios web o aplicaciones desde otro sitio web pero sin
‘otorgar las contrasevias,
Una de las ventajas del Oauth 2.0 es que se veriica la identidad del usuario y emite un tokena la
aplicacién para otorgar acceso, lo cual hace mucho mas segura la autenticacion en nuestra aplicacién.GeneXus,
NANAGE
https://wiki.genexus.com/commwiki/serviet/wiki?24746,
Para saber més sobre elGeneXus Access Manager, visite el siguiente link del Wiki:
httnss/ dik genes com/commuili/serviet/ia224746GenexXus™
The eonee