FAQs - Suporte técnico

RM - Frame - Aumentar segurança no RM Portal Corpore.Net


Dúvida
Como aumentar a segurança no acesso ao RM Portal Corpore.Net?

 

Ambiente
RM – Framework – Todas as versões do RM

 

Solução
O RM é desenvolvido baseado nos princípios fundamentais de segurança abordados pelo OWASP (Open Web Application Security Project). Porém existem configurações que permitem ajustar o nível de segurança da aplicação.

Para aumentar a segurança no acesso ao RM Portal Corpore.Net, aplique as seguintes configurações:

  1. Habilitar o SSL:
    Para garantir que a comunicação com o portal seja segura, habilite o SSL para a sua aplicação no IIS. Isso é recomendado principalmente quando o portal é exposto em uma DMZ ou servidor com acesso via rede pública.

    Para isso é necessário adquirir um certificado através de uma autoridade certificadora confiável e seguir as documentações. Para mais informações acesse:

                https://en.wikipedia.org/wiki/SSL

                https://www.digicert.com/ssl-certificate-installation-microsoft-iis-7.htm

                https://www.digicert.com/ssl-certificate-installation-microsoft-iis-8.htm

    Abaixo segue link com exemplo de como gerar certificado SSL do Windows. 
    http://tdn.totvs.com/display/LRM/Gerando+Certificado+SSL
    Importante: No exemplo acima é configurado o certificado nativo do Windows, dessa forma continuará sendo apresentada a mensagem que o acesso não é seguro. Para que a mensagem não seja exibida, o certificado deve ser adquirido por uma autoridade certificadora confiável. 
  2. Reduzir o nível de detalhamento de mensagens exibidas para o usuário:
    Para isso basta inserir a tag abaixo dentro da sessão AppSettings do web.config do portal Corpore.Net.

    <add key=”StackTraceVisible” value=”False” />

    Para mais detalhes veja:

    https://www.owasp.org/index.php/Improper_Error_Handling

  3. Ativar a flag “Secure” para os cookies de sessão:
    Importante para garantir que os cookies, responsáveis por armazenar alguns dados de autenticação (não inclui usuário e senha) e outras informações, seja transportado em segurança. Basta seguir os passos listados no link abaixo:
    https://stackoverflow.com/questions/1442863/how-can-i-set-the-secure-flag-on-an-asp-net-session-cookie

  4. Habilitar HTTPS na aplicação:
    Isso garante que sua comunicação será feita com segurança, ou seja, utilizando o SSL. Para mais informações acesse:
    https://www.poppastring.com/blog/UsingHTTPStrictTransportSecurityInIIS.aspx
  5. Configurar a HttpOnlyCookies:
    A configuração HttpOnlyCookies definida como true ajuda a atenuar as ameaças de scripts entre sites que pode resultar em roubo de cookies

    https://msdn.microsoft.com/library/ms228262%28v=vs.100%29.aspx

  6. Configure complexidade de senha para o RM:
    Para tanto, acesse o contexto Serviços Globais/Ambiente/Parâmetros Globais e configure a aba Segurança:



  7. Configure o timeout para o RM Portal:
    Para que seja solicitado novo login após um período de utilização.     

    No IIS clique com o botão direito sobre o Default Web Site; 
    Em Gerenciar Site selecione Configurações Avançadas;
    Configure o Tempo Limite de Conexão para '120', por exemplo ou para o tempo adequado para sua empresa:




    Ainda no IIS, dentro de Default Web Site selecione o aplicativo Corpore.Net;
    Abra a opção Estado da Sessão;
    Configure o Limite de Tempo para '120', por exemplo, ou para o tempo adequado para sua empresa:



  8. Alterar configuração no arquivo web.config (localizado na pasta UNIDADE:\totvs\CorporeRM\Corpore.Net):
    Localizar as tags abaixo e alterar o valor para, por exemplo, '120', ou para o tempo adequado para sua empresa:

    <forms name="RMAuthForm" loginUrl="~/Login.aspx" timeout="22" protection="Encryption" path="/" slidingExpiration="true" />
    <sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424" sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes" cookieless="false" timeout="20"/>
Esse artigo foi útil?
Usuários que acharam isso útil: 0 de 0

0 Comentários

Por favor, entre para comentar.
X Fechar

Olá ,

Há pendência referente a um de seus produtos contratados para a empresa ().

Entre em contato com o Centro de Serviços TOTVS para tratativa.

Ligue! 4003-0015 opção 4 e 9 ou registre uma solicitação para CST – Cobrança – Verificação de pendências financeiras . clique aqui.

TOTVS

X Fechar

Olá ,

Seu contato não está cadastrado no Portal do Cliente como um perfil autorizado a solicitar consultoria telefônica.

Por gentileza, acione o administrador do Portal de sua empresa para: (1)configurar o seu acesso ou (2)buscar um perfil autorizado para registro desse atendimento.

Em caso de dúvidas sobre a identificação do contato administrador do Portal, ligue (11) 4003-0015, opção 7 e, em seguida, opção 4 para buscar o suporte com o time de Assessoria ao Portal do Cliente. . clique aqui.

TOTVS

X Fechar

Olá ,

Para o atendimento de "Consultoria Telefônica" você deverá estar de acordo com o Faturamento.

TOTVS

X Fechar

Olá,

Algo inesperado ocorreu, e o usuario nao foi reconhecido ou você nao se encontra logado

Por favor realize um novo login

Em caso de dúvidas, entre em contato com o administrador do Portal de Clientes de sua empresa para verificação do seu usuário, ou Centro de Serviços TOTVS.

Ligue! 4003-0015 opção 4 e 9 ou registre uma solicitação para CST – Cadastros . clique aqui.

TOTVS

Chat _

Preencha os campos abaixo para iniciar o atendimento:

Chat _