a - 0 HTTPS OWASP= Qpen Web Applicatiog! g Security Project En el desarrollo de nuestras aplicaciones existen diversos lineamientos de seguridad que hay que tomar ‘en cuenta. Los mas importantes se encuentran descritos en el Open Web Application Security Project. (owas?). La Fundacién OWASP que gestiona este proyecto, es una comunidad abierta que define y proves informacion, ademasde herramientas para el desarrollo y la verificacién de sistemas informaticos desde una perspectiva de seguridad,@) BROKEN AUTHENTICATION eee ~ = Dentro del OWASP existen varios proyectos. Uno de los més destacados y con mayor relevancia es el OWASP Top 10, un documento que trata sobre los riesgos de seguridad mas crticos en las aplicaciones ‘web y méviles. En uno de los puntos del proyecto habla sobre la Broken authentication donde resalta la importancia de tener un buen factor de autenticacién,a oe AUTHENTICATION AUTHORIZATION GeneXus ACCESS MANAG eo @ GeneXus ofrece un médulo denominado Genexus Access Manager (GAM) que resuelve a Autenticacién ‘en forma automstica. Ademasde esta tarea, el GAM también permite solucionar problemas de Autorizacién, es decir restringir el acceso a distintas partes de la aplicacion, dependiendo de los roles 0 petmisos de cade usuario, EIGAM también nos proporciona diversos objetos pata administrar todos los problemas de seguridad relacionados con una aplicacién web o para dispositivos méviles. Por ejemplo objetos para agregar usuarios, asignar roles, otorgar permisos, et.Enabled Integrated Security {if Petewcee @ Jamey ley atmo Enact Tienes Ey asi Ay Tender Hiren Ea doe 2 Fle x| La activacién de los controles de seguridad se realiza automaticamente mediante la configuracién de la Propiedad Enableintegrated Security, que podemos encontrar enla ventana de Preferences, seleccionando la version activa de nuestra KB.Feary —* ect nee eee ae aa Importacién de objetos GAM = ee a ebeneterat ase cs On Al cambiar la propiedad Enabled integrated Security a True se importaranlos componentes del GeneXus Access Manager a nuestra KB. Bajo el RootModule, veremos carpetas que contendran varios objetos. ‘encargados de proveer las funcionesdel GAM.[me x Sa Integrated Security Level n e a e “a Una vez habilitada la seguridad se puede seleccionar el nivel de la misma utilizando la propiedad Integrated Security Level, que podemos encontrar a nivel de la versin de la KB o de cada objeto. El valor por defecto deesta propiedad es Authentication. Algunas opciones para el nivel de seguridad de nuestra aplicacién son NNinguna, es decir no aplica ningin mecanismo de seguridad. Autenticacién, donde el usuario necesita solo estar logueado para acceder Autorizacién, donde el usuario necesita ademés de estar logueado, tener los permisos necesarios pare acceder a cada parte de la aplicaciononal = «eB "6 GeneXus AGER Team Devgan + Hi Pours Rebuild All Una vez aplicada la seguridad y el tipo de nivel que utilizaré nuestra aplicacién, necesitamos dar un Rebuild all a nuestra KB para que se cree la base de datos que utilizaré el GAM,User Name: admin Password: admin123 Después de que activamos la seguridad, al ejecutar nuestra aplicacié tanto en la parte web comosmart devices Como aiin no hemos configurado usuarios, podemos utilizar un usuario local con la siguientes ‘credenciales: usuatio:admin y contrasefia: admini23, se desplegaté una pantalla deloginAcceso al panel GAM HOME Para poder acceder a la consola de administracién del GAM, debemos acceder al panel GAM HOME que ‘estar listado en elDeveloper Menu. Este panel es el objetobackend principal del GAM donde podernos ‘configurar los usuarios y los permisos de nuestra aplicacien.DEMO \Veamos una pequefia demostracién.Ben EADY To EXPLORE warm tl a & cute illires The new age of EXPLORATION “2. DEMO: bttosif/voutu be/bhoWSZutnkc }Tipo de autenticacién Local = Social Media HO WG Web Service ‘tp u 0am > Hasta ahora solo hemos utilizado la autenticacién de los usuarios locales pero podemos utilizar otro tipo de autenticacién como Facebook, Twitter, Google o de algun servicio externo. Cabe destacar que la version 16 de GeneXus puede realizar la autenticacién con cualquier proveedor que utilice Oauth2.0, ‘OAuthes un esténdar para otorgar acceso a los sitios web o aplicaciones desde otro sitio web pero sin ‘otorgar las contrasevias, Una de las ventajas del Oauth 2.0 es que se veriica la identidad del usuario y emite un tokena la aplicacién para otorgar acceso, lo cual hace mucho mas segura la autenticacion en nuestra aplicacién.GeneXus, NANAGE https://wiki.genexus.com/commwiki/serviet/wiki?24746, Para saber més sobre elGeneXus Access Manager, visite el siguiente link del Wiki: httnss/ dik genes com/commuili/serviet/ia224746GenexXus™ The eonee