FORO SOPORTE TÉCNICO PSKLOUD
¿Quieres reaccionar a este mensaje? Regístrate en el foro con unos pocos clics o inicia sesión para continuar.
BIENVENIDO Explícanos detalladamente tu caso. Con mucho gusto te ayudaremos a resolverlo.
Sabias que un ALIADO DE NEGOCIOS puede tener su propia red de distribuidores PSKloud y ganar mucho dinero?. Solicita información en nuestra pagina www.premium-soft.com
¿Necesitas alcanzar a mas clientes? ¿Aumentar tus ventas? Crea tu tienda virtual con eShop de PSKloud y comienza a expandir tu empresa. PSKShop
Consulta las operaciones de tu empresa con nuestra aplicación móvil Manager y comienza a controlar tu empresa desde cualquier lugar. PSKManager
Los posteadores más activos del mes
No hay usuarios

Ir abajo
martirob
martirob
Cantidad de envíos : 200
Localización : Valencia, Estado Carabobo
Fecha de inscripción : 23/11/2009

Como burlar niveles de acceso Empty Como burlar niveles de acceso

Lun Jul 15, 2013 6:42 pm
Saludos......

Este post lo coloco para hacer un llamado de atencion de la vulnerabilidad que tiene el configurador de las opciones y accesos de los distintos usuarios del sistema.

Primeramente, desde el incio (hasta donde recuerdo) la ventana de configuracion de las opciones y/o accesos de los usuarios no ha cambiado ni tampoco ha permitido mejor control de lo que puede o no hacer un susario en particular.

Primeramente, y es una observacion que hice hace mucho tiempo atras en uno de los talles que recibi en Merida (hace muuuuchoo tiempo) era que en todos los reportes aparece el "usuario" mas no su nombre, siendo esto a veces que ser modificado y usar un campo adicional para colocar el nombre real del ejecutor o la designacion segun sea conveniente. Es decir, por ejemplo, tomemos el caso de un Presupuesto, en donde el nombre del "Vendedor" es deseable tanto para el cliente como para el mismo vendedor, que en ocaciones firma el documento para darle el caracter formal. Creo que la mayoria de los que usamos el sistema, desde el administrador del mismo hasta el usuario final, coloca en el campo "user" un ID o un "nickname" para indetificar a un usuario; Es decir, creo que casi nadie coloca su nombre, ya que el mismo sistema te diferencia el "nombre" del "Usuario" para el ingreso. Esto a pesar de ser algo sencillo, deberia significar algo para esas organizaciones grandes donde se desea conocer con nombre y apellido el ejecutor de algun documento y seguimiento posterior. Insito, se que se puede hacer con otros campos, pero tambien insito que se esta usando un campo de mas para algo de debio haberse corregido hace tiempo.

Dos: Un usuario puede "burlar" la limitacion impuesta en un modulo, buscando la informacion por otro modulo. Conozco de casos en que un usuario no puede ver las existencias, pero al hacer una consulta de los reportes de inventario, puede facilmente visualizar las exietcnias que por configuracion en su ficha tiene prohibido. Hay algunas de estas restricciones que se pueden corregir desabilitando las opciones en los diferentes modulos, pero hay otras que si vienen propiamente del sistema. Un ejemplo, se puede limitar que un usuario no pueda crear articulos para el inventario. Sin embargo, si ese usuario puede crear ordenes de compra o registrar factura por compra, en la ventana de esos procesos se puede "crear" un nuevo articulo, aun cuando ese usuario no puede crear articulos por la pestana de su ficha de usuario.

Otro caso similar, es la creacion de nuevos clientes, boton agregado a la opcion de hacer presupuestos. En muchas veces es una ventaja pero si no se controla la forma en que se crean nuevos clientes, el sistema puede dar problemas (mas aun si esta integrado con la contabilidad, ya que comunmente el "vendedor" no conoce las cuentas que debe asociar a los clientes.
Siguiendo con la misma idea, la ficha del cliente tambien es facilmente modificable por cualquier usuario.  si se desea tener el control de un cliente en particular, por ejemplo, colocarle un limite de credito (opcion que se puede hacer por la ficha del clinete al momento de crearlo), esto no tiene nivel de acceso ni seguridad, pues cualquier que pueda entrar a la ficha del cliente, puede modificar este campo sin problema.

En este sentido, creo que se debe revisar profundamente las configuraciones, relaciones, limitacion y demas vinculaciones de las distintas opciones de seguridad para poder tener mejor control de las operaciones de cada usuario en el sistema.

Para culminar, y como una recomendacion, seria excelente si cada opcion (al menos en la ficha de configuracion de usuarios) tuviera una explicacion de sus efectos con un menu emergente, com si fuera un comentario en una celda de excel y ofrecer ayuda sobre el funcionamiento de cada opcion, que con cada actualizacion parecen mas y mas, pero que al final no se tiene idea clara de lo que hace y de como realmente configurar un usuario tipo.

Agradeciendo sus comentario y ayuda al respecto.....
Volver arriba
Permisos de este foro:
No puedes responder a temas en este foro.