Agregar encriptación por defecto para datos de login #53
Description
Propuesta
Establecer la propiedad login/encryptData del archivo security.properties en true, en lugar de false
Razonamiento
En el archivo security.properties, la propiedad login/encryptData está por defecto en false.
Esto provoca que no se inyecte el script de encriptado en las páginas 404, 403, login y password de SWB (ver InternalServlet de login). Como consecuencia, los datos de login van en blanco en la petición HTTP, lo que representa un tema de seguridad si la instancia de SWB se despliega sin HTTPS.
Aunque es responsabilidad del usuario de SWB que despliega la aplicación el establecer la seguridad de la instancia, sería bueno dejar la configuración de encriptación activada por defecto.
¿Que hay que hacer?
- Modificar los servicios de login
- Modificar la línea 38 del archivo security.properties para asignar la propiedad en true
- Modificar los recursos que utilicen el login para que también usen el script de encriptación