Índice
Buscar
Últimas imágenes
Registrarse
Conectarse
martirob- Cantidad de envíos : 200
Localización : Valencia, Estado Carabobo
Fecha de inscripción : 23/11/2009
Como burlar niveles de acceso
Lun Jul 15, 2013 6:42 pm
Saludos......
Este post lo coloco para hacer un llamado de atencion de la vulnerabilidad que tiene el configurador de las opciones y accesos de los distintos usuarios del sistema.
Primeramente, desde el incio (hasta donde recuerdo) la ventana de configuracion de las opciones y/o accesos de los usuarios no ha cambiado ni tampoco ha permitido mejor control de lo que puede o no hacer un susario en particular.
Primeramente, y es una observacion que hice hace mucho tiempo atras en uno de los talles que recibi en Merida (hace muuuuchoo tiempo) era que en todos los reportes aparece el "usuario" mas no su nombre, siendo esto a veces que ser modificado y usar un campo adicional para colocar el nombre real del ejecutor o la designacion segun sea conveniente. Es decir, por ejemplo, tomemos el caso de un Presupuesto, en donde el nombre del "Vendedor" es deseable tanto para el cliente como para el mismo vendedor, que en ocaciones firma el documento para darle el caracter formal. Creo que la mayoria de los que usamos el sistema, desde el administrador del mismo hasta el usuario final, coloca en el campo "user" un ID o un "nickname" para indetificar a un usuario; Es decir, creo que casi nadie coloca su nombre, ya que el mismo sistema te diferencia el "nombre" del "Usuario" para el ingreso. Esto a pesar de ser algo sencillo, deberia significar algo para esas organizaciones grandes donde se desea conocer con nombre y apellido el ejecutor de algun documento y seguimiento posterior. Insito, se que se puede hacer con otros campos, pero tambien insito que se esta usando un campo de mas para algo de debio haberse corregido hace tiempo.
Dos: Un usuario puede "burlar" la limitacion impuesta en un modulo, buscando la informacion por otro modulo. Conozco de casos en que un usuario no puede ver las existencias, pero al hacer una consulta de los reportes de inventario, puede facilmente visualizar las exietcnias que por configuracion en su ficha tiene prohibido. Hay algunas de estas restricciones que se pueden corregir desabilitando las opciones en los diferentes modulos, pero hay otras que si vienen propiamente del sistema. Un ejemplo, se puede limitar que un usuario no pueda crear articulos para el inventario. Sin embargo, si ese usuario puede crear ordenes de compra o registrar factura por compra, en la ventana de esos procesos se puede "crear" un nuevo articulo, aun cuando ese usuario no puede crear articulos por la pestana de su ficha de usuario.
Otro caso similar, es la creacion de nuevos clientes, boton agregado a la opcion de hacer presupuestos. En muchas veces es una ventaja pero si no se controla la forma en que se crean nuevos clientes, el sistema puede dar problemas (mas aun si esta integrado con la contabilidad, ya que comunmente el "vendedor" no conoce las cuentas que debe asociar a los clientes.
Siguiendo con la misma idea, la ficha del cliente tambien es facilmente modificable por cualquier usuario. si se desea tener el control de un cliente en particular, por ejemplo, colocarle un limite de credito (opcion que se puede hacer por la ficha del clinete al momento de crearlo), esto no tiene nivel de acceso ni seguridad, pues cualquier que pueda entrar a la ficha del cliente, puede modificar este campo sin problema.
En este sentido, creo que se debe revisar profundamente las configuraciones, relaciones, limitacion y demas vinculaciones de las distintas opciones de seguridad para poder tener mejor control de las operaciones de cada usuario en el sistema.
Para culminar, y como una recomendacion, seria excelente si cada opcion (al menos en la ficha de configuracion de usuarios) tuviera una explicacion de sus efectos con un menu emergente, com si fuera un comentario en una celda de excel y ofrecer ayuda sobre el funcionamiento de cada opcion, que con cada actualizacion parecen mas y mas, pero que al final no se tiene idea clara de lo que hace y de como realmente configurar un usuario tipo.
Agradeciendo sus comentario y ayuda al respecto.....
Este post lo coloco para hacer un llamado de atencion de la vulnerabilidad que tiene el configurador de las opciones y accesos de los distintos usuarios del sistema.
Primeramente, desde el incio (hasta donde recuerdo) la ventana de configuracion de las opciones y/o accesos de los usuarios no ha cambiado ni tampoco ha permitido mejor control de lo que puede o no hacer un susario en particular.
Primeramente, y es una observacion que hice hace mucho tiempo atras en uno de los talles que recibi en Merida (hace muuuuchoo tiempo) era que en todos los reportes aparece el "usuario" mas no su nombre, siendo esto a veces que ser modificado y usar un campo adicional para colocar el nombre real del ejecutor o la designacion segun sea conveniente. Es decir, por ejemplo, tomemos el caso de un Presupuesto, en donde el nombre del "Vendedor" es deseable tanto para el cliente como para el mismo vendedor, que en ocaciones firma el documento para darle el caracter formal. Creo que la mayoria de los que usamos el sistema, desde el administrador del mismo hasta el usuario final, coloca en el campo "user" un ID o un "nickname" para indetificar a un usuario; Es decir, creo que casi nadie coloca su nombre, ya que el mismo sistema te diferencia el "nombre" del "Usuario" para el ingreso. Esto a pesar de ser algo sencillo, deberia significar algo para esas organizaciones grandes donde se desea conocer con nombre y apellido el ejecutor de algun documento y seguimiento posterior. Insito, se que se puede hacer con otros campos, pero tambien insito que se esta usando un campo de mas para algo de debio haberse corregido hace tiempo.
Dos: Un usuario puede "burlar" la limitacion impuesta en un modulo, buscando la informacion por otro modulo. Conozco de casos en que un usuario no puede ver las existencias, pero al hacer una consulta de los reportes de inventario, puede facilmente visualizar las exietcnias que por configuracion en su ficha tiene prohibido. Hay algunas de estas restricciones que se pueden corregir desabilitando las opciones en los diferentes modulos, pero hay otras que si vienen propiamente del sistema. Un ejemplo, se puede limitar que un usuario no pueda crear articulos para el inventario. Sin embargo, si ese usuario puede crear ordenes de compra o registrar factura por compra, en la ventana de esos procesos se puede "crear" un nuevo articulo, aun cuando ese usuario no puede crear articulos por la pestana de su ficha de usuario.
Otro caso similar, es la creacion de nuevos clientes, boton agregado a la opcion de hacer presupuestos. En muchas veces es una ventaja pero si no se controla la forma en que se crean nuevos clientes, el sistema puede dar problemas (mas aun si esta integrado con la contabilidad, ya que comunmente el "vendedor" no conoce las cuentas que debe asociar a los clientes.
Siguiendo con la misma idea, la ficha del cliente tambien es facilmente modificable por cualquier usuario. si se desea tener el control de un cliente en particular, por ejemplo, colocarle un limite de credito (opcion que se puede hacer por la ficha del clinete al momento de crearlo), esto no tiene nivel de acceso ni seguridad, pues cualquier que pueda entrar a la ficha del cliente, puede modificar este campo sin problema.
En este sentido, creo que se debe revisar profundamente las configuraciones, relaciones, limitacion y demas vinculaciones de las distintas opciones de seguridad para poder tener mejor control de las operaciones de cada usuario en el sistema.
Para culminar, y como una recomendacion, seria excelente si cada opcion (al menos en la ficha de configuracion de usuarios) tuviera una explicacion de sus efectos con un menu emergente, com si fuera un comentario en una celda de excel y ofrecer ayuda sobre el funcionamiento de cada opcion, que con cada actualizacion parecen mas y mas, pero que al final no se tiene idea clara de lo que hace y de como realmente configurar un usuario tipo.
Agradeciendo sus comentario y ayuda al respecto.....
Permisos de este foro:
No puedes responder a temas en este foro.