Se encuentra en:
MADEJA 1.4.0 » Subsistemas » Desarrollo » Seguridad » Control de Acceso y Autenticación »

Uso de permisos en recursos críticos

LIBP-0264 (Libro de pautas)

Garantizar que los permisos requeridos para utilizar un recurso son los correctos.

Cuando a un recurso se le asigna una configuración de permisos que proporciona acceso a una gama de actores más amplia de lo requerido, existe el riesgo de que se revele información sensible a usuarios que no deberían tener acceso a ella o que el recurso sea modificado por partes no deseadas.

Esto es especialmente peligroso cuando el recurso está relacionado con la configuración del programa, la ejecución o datos confidenciales de usuario.

Pautas

TítuloCarácter
Permisos de los recursosObligatoria
Configuración por defectoObligatoria
DocumentaciónObligatoria

Permisos de los recursos

Comprobar que los recursos no poseen permisos inseguros.

Cuando se utiliza un recurso crítico, como un archivo de configuración, ejecutable o biblioteca, comprobar que el recurso no tenga permisos inseguros, como ser modificable por cualquier usuario normal del sistema, sino que se ubiquen en zonas seguras del servidor o con privilegios especiales.

También comprobar que sólo los usuarios con el perfil "Administrador" tienen permisos de lectura y escritura sobre el recurso, y generar un error o incluso salir de la aplicación si existe la posibilidad de que el recurso pudiese haber sido modificado por una parte no autorizada.

Volver al índice

Configuración por defecto

La configuración por defecto de las aplicaciones debe ser segura

Las aplicaciones deben tener una configuración de inicio que sea segura.

Volver al índice

Documentación

No sugerir cambios inseguros en la documentación

No se deben sugerir cambios de configuración inseguros en la documentación, especialmente si esas configuraciones se puede extender a los recursos y otros programas que están fuera del alcance de su propio software.

Volver al índice

Contenidos relacionados

‹ Nombres de usuario subir nivel