Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| informaciontecnicaba360 [2026/04/17 19:22] – [Autenticación] clopez | informaciontecnicaba360 [2026/04/23 16:27] (actual) – clopez | ||
|---|---|---|---|
| Línea 70: | Línea 70: | ||
| En caso de error, el sistema no expone detalles internos como nombres de clases, trazas de pila (stack traces) o información de la infraestructura subyacente. Adicionalmente, | En caso de error, el sistema no expone detalles internos como nombres de clases, trazas de pila (stack traces) o información de la infraestructura subyacente. Adicionalmente, | ||
| + | |||
| + | ==== Protección contra Cross-site Scripting (XSS) ==== | ||
| + | Be Aware 360 cuenta con protección contra ataques de Cross-site Scripting (XSS) en los módulos que permiten la entrada de contenido por parte de los usuarios, como las notas de caso. | ||
| + | |||
| + | Se implementó la sanitización completa de caracteres especiales de HTML potencialmente maliciosos en la entrada de datos. | ||
| + | |||
| + | ==== Invalidación de token al cierre de sesión ==== | ||
| + | Be Aware 360 cuenta con un mecanismo de invalidación de token de sesión al momento del cierre de sesión. Cuando el usuario ejecuta la acción de logout, el token de sesión se invalida de forma inmediata, impidiendo su reutilización posterior. De esta forma, un token capturado no puede ser utilizado para acceder al sistema una vez que el usuario ha cerrado su sesión. | ||
| + | |||
| + | ==== Gestión de versiones de API ==== | ||
| + | Be Aware 360 mantiene un control sobre las versiones activas de la API. Las versiones deprecadas de la API son dadas de baja para evitar la exposición de información sensible a través de endpoints que no cuentan con las medidas de seguridad implementadas en versiones posteriores. Los endpoints activos corresponden a la versión vigente de la API (v10.5, v11 y v12). | ||
| + | |||
| ==== Autogestión de contraseñas de usuarios y contactos ==== | ==== Autogestión de contraseñas de usuarios y contactos ==== | ||
| Los usuarios y contactos podrán usar los siguientes mecanismos para la recuperación de contraseñas: | Los usuarios y contactos podrán usar los siguientes mecanismos para la recuperación de contraseñas: | ||
| Línea 79: | Línea 91: | ||
| Para más información consultar [[portales|Portal de clientes de Be Aware 360]]. | Para más información consultar [[portales|Portal de clientes de Be Aware 360]]. | ||
| + | |||
| + | ==== Protección contra intentos masivos (Rate Limiting) ==== | ||
| + | Be Aware 360 cuenta con un mecanismo de limitación de intentos (Rate Limiting) que protege contra ataques de fuerza bruta y consumo excesivo de recursos. Este mecanismo aplica a todos los endpoints de la API de login, incluyendo el servicio de recuperación de contraseña. | ||
| + | |||
| + | El comportamiento del Rate Limiting es el siguiente: | ||
| + | |||
| + | * Se permite un máximo de 5 intentos fallidos consecutivos por dirección IP. | ||
| + | * Tras superar el límite de intentos, el acceso se bloquea automáticamente para esa dirección IP. | ||
| + | * El bloqueo se levanta automáticamente después de 300 segundos (5 minutos). | ||
| + | |||
| + | Esta sección es configurable por cada implementación de BeAware, para ajustarlo a las necesidades particulares de cada cliente. | ||
| + | |||
| + | ==== Protección contra enumeración de usuarios ==== | ||
| + | Be Aware 360 cuenta con protección contra la enumeración de usuarios en el servicio de recuperación de contraseña. Independientemente de si el usuario o contacto existe en el sistema, el servicio retorna siempre la misma respuesta, de modo que no es posible determinar la existencia de una cuenta a través de diferencias en los mensajes de error o respuestas del servicio. | ||
| + | |||
| + | Adicionalmente, | ||
| ==== Bloqueo de usuarios ==== | ==== Bloqueo de usuarios ==== | ||