SlideShare a Scribd company logo

Seguridad en Tryton

NaN-tic
NaN-tic

Presentación de los mecanismo de seguridad que incorpora el programa de gestión Tryton. Presentación realizada en las I Jornadas Tryton de 2016 en Barcelona.

Business
1 of 18
Download to read offline
Seguridad en Tryton
1/Proyecto
● Si se notifica de un possible problema de seguridad a https://bugs.tryton.org se debe indicar que se trata de un problema de seguridad de forma que sólo unos pocos desarrolladores tienen acceso ● La revisión de código se hace también en privado ● Se pide un número CVE ● Se saca una nueva versión menor n.n.X para todas las versiones afectadas 1.1/Seguridad, en serio
2/Usuario
● Administrador a nivel de aplicación (por encima de las bases de datos). Permite: ● Crear y borrar bases de datos ● Realizar copias de seguridad y restaurarlas (no escalable) ● Password hash con crypt en el fichero de configuración (cuidado con los permisos!) 2.1/Superadministrador
● Configurable a partir de la 4.2 (password + SMS por ejemplo) ● Hash de la contraseña con sha1 o bcrypt si disponible (más lento!) 2.2/Login
● Se puede limitar acceso según: ● Objeto: ● Tabla ● Campo ● Botón/función ● Reglas de registros (corte horizontal) mediante dominio: ● Ejemplo: [('code', 'ilike', '7%')] ● Nivel: ● Lectura ● Creación ● Modificación ● Borrado 2.3/Grupos y usuarios
● Timeout para volver a pedir contraseña después de X tiempo de inactividad (timeout en fichero de configuración) ● Cada intento fallido aumenta el tiempo de espera del login (limitado por el tiepo de timeout) ● ¡¡¡Aumento exponencial!!! 2.4/Conexión y desconexión
● Reglas para nivel mínimo de dificultad de contraseñas ● Número de días de validez de una misma contraseña para un usuario ● Pide contraseña si ha expirado el tiempo ● Botón de reset de password para mandar correo electrónico al usuario 2.5/Módulo password_expiry
● audit_trail ● Registrar histórico de logins y logouts de los usuarios del sistema ● audit_log ● Permite ver en una sola pantalla todas las acciones realizadas por los usuarios ● Datos: ● Usuario ● Fecha y hora ● Creación/modificación/borrado ● Cambios realizados (si la tabla está historizada) ● No genera registro, cálculo a posteriori 2.6/Módulos de auditoría
3/Administración de sistemas
● Conexión local o cifrada ● trytond: utilizar usuario NO administrador pero con acceso a toda la base de datos 3.1/PostgreSQL
● Conexión segura https: ● Cliente web ● Cliente escritorio ● Webservices: XML-RPC y JSON-RPC ● Permisos se aplican también mediante los webservices ● Aplicaciones específicas (trytond / flask): Permisos a nivel de PostgreSQL 3.2/Conexiones
4/Programación
● Problema con los permisos: ● Es muuuuuy complejo dar los permisos necesarios para que un usuario ● Podemos utilizar: with Transaction().set_user(0): ● @ModelView.button 4.1/Permisos programación: root
● python-sql: Evita SQL injection cursor.execute(*action_report.select(action_report.id, action_report.report_content_data, order_by=action_report.id, limit=limit, offset=offset)) ● Simpleeval (en sustitución de safe_eval – que no era tant safe) ● PySON 4.2/Seguridad
http://www.NaN-tic.com Albert Cervera i Areny albert@nan-tic.com @albertnan linkedin.com/in/albertca
Seguridad en Tryton

Recommended

Java mission control para monitoreo, administración y profilig de aplicacion...
Java mission control para monitoreo, administración y profilig de aplicacion...Java mission control para monitoreo, administración y profilig de aplicacion...
Java mission control para monitoreo, administración y profilig de aplicacion...
César Hernández
 
Una gota de elixir 2017
Una gota de elixir 2017Una gota de elixir 2017
Una gota de elixir 2017
Rafael Antonio Gutiérrez Turullols
 
Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...
César Hernández
 
PostgreSQL el core de OpenERP
PostgreSQL el core de OpenERPPostgreSQL el core de OpenERP
PostgreSQL el core de OpenERP
Cristian Salamea
 
Server side swift
Server side swiftServer side swift
Server side swift
Bruno Berisso
 
JConf Perú 2020 - ¡Micronaut en acción!
JConf Perú 2020 - ¡Micronaut en acción!JConf Perú 2020 - ¡Micronaut en acción!
JConf Perú 2020 - ¡Micronaut en acción!
Iván López Martín
 
Logistica en Tryton
Logistica en TrytonLogistica en Tryton
Logistica en Tryton
NaN-tic
 
Cómo aprovechar tu ERP
Cómo aprovechar tu ERPCómo aprovechar tu ERP
Cómo aprovechar tu ERP
NaN-tic
 

Recommended

Java mission control para monitoreo, administración y profilig de aplicacion...
Java mission control para monitoreo, administración y profilig de aplicacion...Java mission control para monitoreo, administración y profilig de aplicacion...
Java mission control para monitoreo, administración y profilig de aplicacion...
César Hernández
 
Una gota de elixir 2017
Una gota de elixir 2017Una gota de elixir 2017
Una gota de elixir 2017
Rafael Antonio Gutiérrez Turullols
 
Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...
César Hernández
 
PostgreSQL el core de OpenERP
PostgreSQL el core de OpenERPPostgreSQL el core de OpenERP
PostgreSQL el core de OpenERP
Cristian Salamea
 
Server side swift
Server side swiftServer side swift
Server side swift
Bruno Berisso
 
JConf Perú 2020 - ¡Micronaut en acción!
JConf Perú 2020 - ¡Micronaut en acción!JConf Perú 2020 - ¡Micronaut en acción!
JConf Perú 2020 - ¡Micronaut en acción!
Iván López Martín
 
Logistica en Tryton
Logistica en TrytonLogistica en Tryton
Logistica en Tryton
NaN-tic
 
Cómo aprovechar tu ERP
Cómo aprovechar tu ERPCómo aprovechar tu ERP
Cómo aprovechar tu ERP
NaN-tic
 
Introducción a la programación en Tryton
Introducción a la programación en TrytonIntroducción a la programación en Tryton
Introducción a la programación en Tryton
NaN-tic
 
Rendimiento del sistema Tryton
Rendimiento del sistema TrytonRendimiento del sistema Tryton
Rendimiento del sistema Tryton
NaN-tic
 
BaBI - Basic Business Intelligence for OpenERP
BaBI - Basic Business Intelligence for OpenERPBaBI - Basic Business Intelligence for OpenERP
BaBI - Basic Business Intelligence for OpenERP
NaN-tic
 
10 coses que has de saber abans d’escollir una eina de gestió empresarial
10 coses que has de saber abans d’escollir una eina de gestió empresarial10 coses que has de saber abans d’escollir una eina de gestió empresarial
10 coses que has de saber abans d’escollir una eina de gestió empresarial
NaN-tic
 
Implantación de almacenes y producción
Implantación de almacenes y producciónImplantación de almacenes y producción
Implantación de almacenes y producción
NaN-tic
 
Tryton
TrytonTryton
Tryton
NaN-tic
 
Kafkadb
KafkadbKafkadb
Kafkadb
NaN-tic
 
ERPs en codi obert: una alternativa estratègica per a la gestió empresarial
ERPs en codi obert: una alternativa estratègica per a la gestió empresarialERPs en codi obert: una alternativa estratègica per a la gestió empresarial
ERPs en codi obert: una alternativa estratègica per a la gestió empresarial
NaN-tic
 
Noves tendències en eines de gestió empresarial de codi obert
Noves tendències en eines de gestió empresarial de codi obertNoves tendències en eines de gestió empresarial de codi obert
Noves tendències en eines de gestió empresarial de codi obert
NaN-tic
 
Introducción a tryton
Introducción a trytonIntroducción a tryton
Introducción a tryton
NaN-tic
 
Ppt cierre mesas
Ppt cierre mesasPpt cierre mesas
Ppt cierre mesas
maurigonza
 
Dh 22 red juvenil
Dh 22 red juvenilDh 22 red juvenil
Dh 22 red juvenil
daroviasocoph
 
las vanguardias
las vanguardiaslas vanguardias
las vanguardias
Tania Contento
 
Programa Lista B "Convergencia" /// FEUV Santiago 2016
Programa Lista B "Convergencia" /// FEUV Santiago 2016Programa Lista B "Convergencia" /// FEUV Santiago 2016
Programa Lista B "Convergencia" /// FEUV Santiago 2016
Darío Andrés Ahrens
 
Cms
Cms Cms
Cms
Dulce Romero Garcia
 
Guerrilla Marketing
Guerrilla MarketingGuerrilla Marketing
Guerrilla Marketing
Diego Ricol
 
Recesión, Empleo y Formación en Documentación
Recesión, Empleo y Formación en DocumentaciónRecesión, Empleo y Formación en Documentación
Recesión, Empleo y Formación en Documentación
Col·legi Oficial de Bibliotecaris i Documentalistes de la Comunitat Valenciana (COBDCV)
 
Act 3 higiene
Act 3 higieneAct 3 higiene
Act 3 higiene
milangelae
 
La persona más cara de la organización es la que no aporta nada a la rentabil...
La persona más cara de la organización es la que no aporta nada a la rentabil...La persona más cara de la organización es la que no aporta nada a la rentabil...
La persona más cara de la organización es la que no aporta nada a la rentabil...
ALITARA
 
Propuesta curso de marketing en internet 2012 (2)
Propuesta curso de marketing en internet 2012 (2)Propuesta curso de marketing en internet 2012 (2)
Propuesta curso de marketing en internet 2012 (2)
Nidia Arza
 
Logs y auditoría
Logs y auditoríaLogs y auditoría
Logs y auditoría
ProfesoraBrendaBarragan
 
Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windows
Henry Candelario
 

More Related Content

Viewers also liked

10 coses que has de saber abans d’escollir una eina de gestió empresarial
10 coses que has de saber abans d’escollir una eina de gestió empresarial10 coses que has de saber abans d’escollir una eina de gestió empresarial
10 coses que has de saber abans d’escollir una eina de gestió empresarial
NaN-tic
 
Propuesta curso de marketing en internet 2012 (2)
Propuesta curso de marketing en internet 2012 (2)Propuesta curso de marketing en internet 2012 (2)
Propuesta curso de marketing en internet 2012 (2)
Nidia Arza
 

Viewers also liked (20)

Introducción a la programación en Tryton
Introducción a la programación en TrytonIntroducción a la programación en Tryton
Introducción a la programación en Tryton
 
Rendimiento del sistema Tryton
Rendimiento del sistema TrytonRendimiento del sistema Tryton
Rendimiento del sistema Tryton
 
BaBI - Basic Business Intelligence for OpenERP
BaBI - Basic Business Intelligence for OpenERPBaBI - Basic Business Intelligence for OpenERP
BaBI - Basic Business Intelligence for OpenERP
 
10 coses que has de saber abans d’escollir una eina de gestió empresarial
10 coses que has de saber abans d’escollir una eina de gestió empresarial10 coses que has de saber abans d’escollir una eina de gestió empresarial
10 coses que has de saber abans d’escollir una eina de gestió empresarial
 
Implantación de almacenes y producción
Implantación de almacenes y producciónImplantación de almacenes y producción
Implantación de almacenes y producción
 
Tryton
TrytonTryton
Tryton
 
Kafkadb
KafkadbKafkadb
Kafkadb
 
ERPs en codi obert: una alternativa estratègica per a la gestió empresarial
ERPs en codi obert: una alternativa estratègica per a la gestió empresarialERPs en codi obert: una alternativa estratègica per a la gestió empresarial
ERPs en codi obert: una alternativa estratègica per a la gestió empresarial
 
Noves tendències en eines de gestió empresarial de codi obert
Noves tendències en eines de gestió empresarial de codi obertNoves tendències en eines de gestió empresarial de codi obert
Noves tendències en eines de gestió empresarial de codi obert
 
Introducción a tryton
Introducción a trytonIntroducción a tryton
Introducción a tryton
 
Ppt cierre mesas
Ppt cierre mesasPpt cierre mesas
Ppt cierre mesas
 
Dh 22 red juvenil
Dh 22 red juvenilDh 22 red juvenil
Dh 22 red juvenil
 
las vanguardias
las vanguardiaslas vanguardias
las vanguardias
 
Programa Lista B "Convergencia" /// FEUV Santiago 2016
Programa Lista B "Convergencia" /// FEUV Santiago 2016Programa Lista B "Convergencia" /// FEUV Santiago 2016
Programa Lista B "Convergencia" /// FEUV Santiago 2016
 
Cms
Cms Cms
Cms
 
Guerrilla Marketing
Guerrilla MarketingGuerrilla Marketing
Guerrilla Marketing
 
Recesión, Empleo y Formación en Documentación
Recesión, Empleo y Formación en DocumentaciónRecesión, Empleo y Formación en Documentación
Recesión, Empleo y Formación en Documentación
 
Act 3 higiene
Act 3 higieneAct 3 higiene
Act 3 higiene
 
La persona más cara de la organización es la que no aporta nada a la rentabil...
La persona más cara de la organización es la que no aporta nada a la rentabil...La persona más cara de la organización es la que no aporta nada a la rentabil...
La persona más cara de la organización es la que no aporta nada a la rentabil...
 
Propuesta curso de marketing en internet 2012 (2)
Propuesta curso de marketing en internet 2012 (2)Propuesta curso de marketing en internet 2012 (2)
Propuesta curso de marketing en internet 2012 (2)
 

Similar to Seguridad en Tryton

Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windows
Henry Candelario
 
Ssh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupSsh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backup
matateshion
 
Unidad 2-servidores-con-software-propietario
Unidad 2-servidores-con-software-propietarioUnidad 2-servidores-con-software-propietario
Unidad 2-servidores-con-software-propietario
Sacro Undercrown
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
Conferencias FIST
 

Similar to Seguridad en Tryton (20)

Logs y auditoría
Logs y auditoríaLogs y auditoría
Logs y auditoría
 
Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windows
 
Procesos, cuotas y control parental
Procesos, cuotas y control parentalProcesos, cuotas y control parental
Procesos, cuotas y control parental
 
Ssh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupSsh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backup
 
Softonic Labs - Web Escalable
Softonic Labs - Web EscalableSoftonic Labs - Web Escalable
Softonic Labs - Web Escalable
 
Coders cantabria - Junio (Offline First)
Coders cantabria - Junio (Offline First)Coders cantabria - Junio (Offline First)
Coders cantabria - Junio (Offline First)
 
Unidad 2-servidores-con-software-propietario
Unidad 2-servidores-con-software-propietarioUnidad 2-servidores-con-software-propietario
Unidad 2-servidores-con-software-propietario
 
Jaime
JaimeJaime
Jaime
 
SecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de desplieguesSecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de despliegues
 
Formato a bajo nivel
Formato a bajo nivelFormato a bajo nivel
Formato a bajo nivel
 
Formato a bajo nivel
Formato a bajo nivelFormato a bajo nivel
Formato a bajo nivel
 
Mrtg ubuntu
Mrtg ubuntuMrtg ubuntu
Mrtg ubuntu
 
Tutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian SqueezeTutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian Squeeze
 
Tc3 paso4
Tc3 paso4Tc3 paso4
Tc3 paso4
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
Sistema operativo
Sistema operativoSistema operativo
Sistema operativo
 
Logs en Linux.pdf
Logs en Linux.pdfLogs en Linux.pdf
Logs en Linux.pdf
 
Tec red modulo3-1
Tec red modulo3-1Tec red modulo3-1
Tec red modulo3-1
 
Administración y Comando Básicos
Administración y Comando BásicosAdministración y Comando Básicos
Administración y Comando Básicos
 
Presentacion
PresentacionPresentacion
Presentacion
 

More from NaN-tic

NaN-tic Bitz: Del negoci als bits
NaN-tic Bitz: Del negoci als bitsNaN-tic Bitz: Del negoci als bits
NaN-tic Bitz: Del negoci als bits
NaN-tic
 

More from NaN-tic (20)

Tryton Unfrequently Given Answers
Tryton Unfrequently Given AnswersTryton Unfrequently Given Answers
Tryton Unfrequently Given Answers
 
Arquitectura de PostgreSQL
Arquitectura de PostgreSQLArquitectura de PostgreSQL
Arquitectura de PostgreSQL
 
ViDSigner & Tryton ERP: integración de firma digital segura
ViDSigner & Tryton ERP: integración de firma digital seguraViDSigner & Tryton ERP: integración de firma digital segura
ViDSigner & Tryton ERP: integración de firma digital segura
 
Apps móviles para la gestión de almacenes
Apps móviles para la gestión de almacenesApps móviles para la gestión de almacenes
Apps móviles para la gestión de almacenes
 
Gestión de poyectos de instalaciones con tryton erp
Gestión de poyectos de instalaciones con tryton erpGestión de poyectos de instalaciones con tryton erp
Gestión de poyectos de instalaciones con tryton erp
 
La seguretat a Tryton
La seguretat a TrytonLa seguretat a Tryton
La seguretat a Tryton
 
Durabilitat de la informació (i la inversió)
Durabilitat de la informació (i la inversió)Durabilitat de la informació (i la inversió)
Durabilitat de la informació (i la inversió)
 
PostgreSQL: present and near future
PostgreSQL: present and near futurePostgreSQL: present and near future
PostgreSQL: present and near future
 
Application Performance Monitoring in Tryton
Application Performance Monitoring in TrytonApplication Performance Monitoring in Tryton
Application Performance Monitoring in Tryton
 
Reporting en tryton
Reporting en trytonReporting en tryton
Reporting en tryton
 
Invoke y como poner en marcha un entorno de trabajo
Invoke y como poner en marcha un entorno de trabajoInvoke y como poner en marcha un entorno de trabajo
Invoke y como poner en marcha un entorno de trabajo
 
Contratos y servicios de facturacion recurrente
Contratos y servicios de facturacion recurrenteContratos y servicios de facturacion recurrente
Contratos y servicios de facturacion recurrente
 
Produccion en Tryton
Produccion en TrytonProduccion en Tryton
Produccion en Tryton
 
BaBI - El motor de anàlisis de negocio
BaBI - El motor de anàlisis de negocioBaBI - El motor de anàlisis de negocio
BaBI - El motor de anàlisis de negocio
 
Tryton como backend de páginas web
Tryton como backend de páginas webTryton como backend de páginas web
Tryton como backend de páginas web
 
Com aprofitar el teu ERP
Com aprofitar el teu ERPCom aprofitar el teu ERP
Com aprofitar el teu ERP
 
NaN-tic Bitz: Del negoci als bits
NaN-tic Bitz: Del negoci als bitsNaN-tic Bitz: Del negoci als bits
NaN-tic Bitz: Del negoci als bits
 
Tryton
TrytonTryton
Tryton
 
Començar des de zero sense finançament
Començar des de zero sense finançamentComençar des de zero sense finançament
Començar des de zero sense finançament
 
Vertical para granjas de crianza y engorde OpenERP
Vertical para granjas de crianza y engorde OpenERPVertical para granjas de crianza y engorde OpenERP
Vertical para granjas de crianza y engorde OpenERP
 

Recently uploaded

Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
MIGUELANGELLEGUIAGUZ
 
UNIDAD DIDACTICA DE CUARTO BIMESTRE DOCENTES SECUNDARIA
UNIDAD DIDACTICA DE CUARTO BIMESTRE DOCENTES SECUNDARIAUNIDAD DIDACTICA DE CUARTO BIMESTRE DOCENTES SECUNDARIA
UNIDAD DIDACTICA DE CUARTO BIMESTRE DOCENTES SECUNDARIA
sonapo
 
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfSENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
JaredQuezada3
 
senati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptxsenati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptx
nathalypaolaacostasu
 
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
i7ingenieria
 

Recently uploaded (20)

Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
 
UNIDAD DIDACTICA DE CUARTO BIMESTRE DOCENTES SECUNDARIA
UNIDAD DIDACTICA DE CUARTO BIMESTRE DOCENTES SECUNDARIAUNIDAD DIDACTICA DE CUARTO BIMESTRE DOCENTES SECUNDARIA
UNIDAD DIDACTICA DE CUARTO BIMESTRE DOCENTES SECUNDARIA
 
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBREDISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
 
TEORÍAS DE LA MOTIVACIÓN Recursos Humanos.pptx
TEORÍAS DE LA MOTIVACIÓN Recursos Humanos.pptxTEORÍAS DE LA MOTIVACIÓN Recursos Humanos.pptx
TEORÍAS DE LA MOTIVACIÓN Recursos Humanos.pptx
 
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxINTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
 
el impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGVel impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGV
 
Caja nacional de salud 0&!(&:(_5+:;?)8-!!(
Caja nacional de salud 0&!(&:(_5+:;?)8-!!(Caja nacional de salud 0&!(&:(_5+:;?)8-!!(
Caja nacional de salud 0&!(&:(_5+:;?)8-!!(
 
Analisis del art. 37 de la Ley del Impuesto a la Renta
Analisis del art. 37 de la Ley del Impuesto a la RentaAnalisis del art. 37 de la Ley del Impuesto a la Renta
Analisis del art. 37 de la Ley del Impuesto a la Renta
 
Fabricación de Cremas en Industria Farmacéutica
Fabricación de Cremas en Industria FarmacéuticaFabricación de Cremas en Industria Farmacéutica
Fabricación de Cremas en Industria Farmacéutica
 
2 Tipo Sociedad comandita por acciones.pptx
2 Tipo Sociedad comandita por acciones.pptx2 Tipo Sociedad comandita por acciones.pptx
2 Tipo Sociedad comandita por acciones.pptx
 
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfSENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
 
Maria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralMaria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industral
 
2024 - 04 PPT Directiva para la formalizacion, sustento y registro del gasto ...
2024 - 04 PPT Directiva para la formalizacion, sustento y registro del gasto ...2024 - 04 PPT Directiva para la formalizacion, sustento y registro del gasto ...
2024 - 04 PPT Directiva para la formalizacion, sustento y registro del gasto ...
 
DERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJO
DERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJODERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJO
DERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJO
 
senati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptxsenati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptx
 
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptxSostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
 
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
 
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedades
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedadesLas sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedades
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedades
 
Presentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdfPresentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdf
 
4 Tipos de Empresa Sociedad colectiva.pptx
4 Tipos de Empresa Sociedad colectiva.pptx4 Tipos de Empresa Sociedad colectiva.pptx
4 Tipos de Empresa Sociedad colectiva.pptx
 

Seguridad en Tryton

  • 3. ● Si se notifica de un possible problema de seguridad a https://bugs.tryton.org se debe indicar que se trata de un problema de seguridad de forma que sólo unos pocos desarrolladores tienen acceso ● La revisión de código se hace también en privado ● Se pide un número CVE ● Se saca una nueva versión menor n.n.X para todas las versiones afectadas 1.1/Seguridad, en serio
  • 5. ● Administrador a nivel de aplicación (por encima de las bases de datos). Permite: ● Crear y borrar bases de datos ● Realizar copias de seguridad y restaurarlas (no escalable) ● Password hash con crypt en el fichero de configuración (cuidado con los permisos!) 2.1/Superadministrador
  • 6. ● Configurable a partir de la 4.2 (password + SMS por ejemplo) ● Hash de la contraseña con sha1 o bcrypt si disponible (más lento!) 2.2/Login
  • 7. ● Se puede limitar acceso según: ● Objeto: ● Tabla ● Campo ● Botón/función ● Reglas de registros (corte horizontal) mediante dominio: ● Ejemplo: [('code', 'ilike', '7%')] ● Nivel: ● Lectura ● Creación ● Modificación ● Borrado 2.3/Grupos y usuarios
  • 8. ● Timeout para volver a pedir contraseña después de X tiempo de inactividad (timeout en fichero de configuración) ● Cada intento fallido aumenta el tiempo de espera del login (limitado por el tiepo de timeout) ● ¡¡¡Aumento exponencial!!! 2.4/Conexión y desconexión
  • 9. ● Reglas para nivel mínimo de dificultad de contraseñas ● Número de días de validez de una misma contraseña para un usuario ● Pide contraseña si ha expirado el tiempo ● Botón de reset de password para mandar correo electrónico al usuario 2.5/Módulo password_expiry
  • 10. ● audit_trail ● Registrar histórico de logins y logouts de los usuarios del sistema ● audit_log ● Permite ver en una sola pantalla todas las acciones realizadas por los usuarios ● Datos: ● Usuario ● Fecha y hora ● Creación/modificación/borrado ● Cambios realizados (si la tabla está historizada) ● No genera registro, cálculo a posteriori 2.6/Módulos de auditoría
  • 12. ● Conexión local o cifrada ● trytond: utilizar usuario NO administrador pero con acceso a toda la base de datos 3.1/PostgreSQL
  • 13. ● Conexión segura https: ● Cliente web ● Cliente escritorio ● Webservices: XML-RPC y JSON-RPC ● Permisos se aplican también mediante los webservices ● Aplicaciones específicas (trytond / flask): Permisos a nivel de PostgreSQL 3.2/Conexiones
  • 15. ● Problema con los permisos: ● Es muuuuuy complejo dar los permisos necesarios para que un usuario ● Podemos utilizar: with Transaction().set_user(0): ● @ModelView.button 4.1/Permisos programación: root
  • 16. ● python-sql: Evita SQL injection cursor.execute(*action_report.select(action_report.id, action_report.report_content_data, order_by=action_report.id, limit=limit, offset=offset)) ● Simpleeval (en sustitución de safe_eval – que no era tant safe) ● PySON 4.2/Seguridad
  • 17. http://www.NaN-tic.com Albert Cervera i Areny albert@nan-tic.com @albertnan linkedin.com/in/albertca