Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
informaciontecnicaba360 [2026/04/23 16:24] clopezinformaciontecnicaba360 [2026/04/23 16:27] (actual) clopez
Línea 70: Línea 70:
    
 En caso de error, el sistema no expone detalles internos como nombres de clases, trazas de pila (stack traces) o información de la infraestructura subyacente. Adicionalmente, la configuración del servidor de aplicaciones no muestra páginas de error con información del servidor. En caso de error, el sistema no expone detalles internos como nombres de clases, trazas de pila (stack traces) o información de la infraestructura subyacente. Adicionalmente, la configuración del servidor de aplicaciones no muestra páginas de error con información del servidor.
-==== Protección contra Cross-site Scripting (XSS) ==== + 
- +==== Protección contra Cross-site Scripting (XSS) ==== 
 Be Aware 360 cuenta con protección contra ataques de Cross-site Scripting (XSS) en los módulos que permiten la entrada de contenido por parte de los usuarios, como las notas de caso. Be Aware 360 cuenta con protección contra ataques de Cross-site Scripting (XSS) en los módulos que permiten la entrada de contenido por parte de los usuarios, como las notas de caso.
    
Línea 77: Línea 77:
    
 ==== Invalidación de token al cierre de sesión ==== ==== Invalidación de token al cierre de sesión ====
-  
 Be Aware 360 cuenta con un mecanismo de invalidación de token de sesión al momento del cierre de sesión. Cuando el usuario ejecuta la acción de logout, el token de sesión se invalida de forma inmediata, impidiendo su reutilización posterior. De esta forma, un token capturado no puede ser utilizado para acceder al sistema una vez que el usuario ha cerrado su sesión. Be Aware 360 cuenta con un mecanismo de invalidación de token de sesión al momento del cierre de sesión. Cuando el usuario ejecuta la acción de logout, el token de sesión se invalida de forma inmediata, impidiendo su reutilización posterior. De esta forma, un token capturado no puede ser utilizado para acceder al sistema una vez que el usuario ha cerrado su sesión.
    
 ==== Gestión de versiones de API ==== ==== Gestión de versiones de API ====
-  
 Be Aware 360 mantiene un control sobre las versiones activas de la API. Las versiones deprecadas de la API son dadas de baja para evitar la exposición de información sensible a través de endpoints que no cuentan con las medidas de seguridad implementadas en versiones posteriores. Los endpoints activos corresponden a la versión vigente de la API (v10.5, v11 y v12). Be Aware 360 mantiene un control sobre las versiones activas de la API. Las versiones deprecadas de la API son dadas de baja para evitar la exposición de información sensible a través de endpoints que no cuentan con las medidas de seguridad implementadas en versiones posteriores. Los endpoints activos corresponden a la versión vigente de la API (v10.5, v11 y v12).
  
Línea 93: Línea 91:
  
 Para más información consultar [[portales|Portal de clientes de Be Aware 360]]. Para más información consultar [[portales|Portal de clientes de Be Aware 360]].
 +
 +==== Protección contra intentos masivos (Rate Limiting) ====
 +Be Aware 360 cuenta con un mecanismo de limitación de intentos (Rate Limiting) que protege contra ataques de fuerza bruta y consumo excesivo de recursos. Este mecanismo aplica a todos los endpoints de la API de login, incluyendo el servicio de recuperación de contraseña.
 + 
 +El comportamiento del Rate Limiting es el siguiente:
 + 
 +  * Se permite un máximo de 5 intentos fallidos consecutivos por dirección IP.
 +  * Tras superar el límite de intentos, el acceso se bloquea automáticamente para esa dirección IP.
 +  * El bloqueo se levanta automáticamente después de 300 segundos (5 minutos).
 + 
 +Esta sección es configurable por cada implementación de BeAware, para ajustarlo a las necesidades particulares de cada cliente.
 +
 +==== Protección contra enumeración de usuarios ====
 +Be Aware 360 cuenta con protección contra la enumeración de usuarios en el servicio de recuperación de contraseña. Independientemente de si el usuario o contacto existe en el sistema, el servicio retorna siempre la misma respuesta, de modo que no es posible determinar la existencia de una cuenta a través de diferencias en los mensajes de error o respuestas del servicio.
 + 
 +Adicionalmente, el servicio no devuelve información del usuario en la respuesta de recuperación de contraseña, limitándose a confirmar la recepción de la solicitud sin revelar datos personales.
  
 ==== Bloqueo de usuarios ==== ==== Bloqueo de usuarios ====
informaciontecnicaba360.txt · Última modificación: por clopez
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Noncommercial-Share Alike 4.0 International


  • Ver página
  • Revisiones antiguas
  • Enlaces a esta página
  • Cambios recientes
  • Administrador de Ficheros
  • Índice