-
Notifications
You must be signed in to change notification settings - Fork 16
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
- Loading branch information
Showing
1 changed file
with
35 additions
and
0 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,35 @@ | ||
Seguridad | ||
========= | ||
|
||
sysPass dispone de mecanismos de seguridad para mitigar cierto tipo de eventos y acciones que pueden comprometer la seguridad de la aplicación. Entre ellos se encuentran: | ||
|
||
* Generación de token de seguridad para envío de formularios | ||
* Comprobación del tipo de petición para cada formulario | ||
* Eliminación de carácteres no deseados en los datos recibidos | ||
* Forzado de tipos (type casting) en los datos recibidos | ||
* Generación de hashes para los nombres de archivos de exportación y copia de seguridad | ||
* Uso de cifrado PKI para envío de claves en formularios | ||
|
||
A pesar de estas medidas, es necesario asegurar los componentes del servidor web y las comunicaciones mediante: | ||
|
||
* Uso de HTTPS | ||
* Restricción de acceso a los directorios "config" y "backup" | ||
|
||
Para restringir el acceso a los directorios en Apache es posible utilizar los archivos ".htaccess" en cada directorio o en la configuración del sitio: | ||
|
||
.. code:: Apache | ||
# En Apache 2.2 | ||
<Directory ~ "/var/www/html/sysPass/(config|backup)"> | ||
<Limit GET HEAD POST> | ||
Order Deny,Allow | ||
Deny from all | ||
</Limit> | ||
</Directory> | ||
# En Apache 2.4 | ||
<Directory ~ "/var/www/html/sysPass/(config|backup)"> | ||
Require all denied | ||
</Directory> | ||
.. danger:: Es importante que el directorio "config" no sea accesible desde el servicio web, ya que puede revelar información importante. |