R-428 sivel2_gen. mejora seguridad en Devise #64

alejocruzrcc · 2021-07-30T20:08:22Z

Se realizaron las siguientes implementaciones para fortalecer seguridad en la aplicación:

Validación que el email ingresado sea válido
Implementación de confirmación de contraseña al crearse
Aceptar solo contraseña fuertes. 1 minúscula, 1 mayusucla, 1 digito y 1 caracter especial.

vtamara

Favor implementar cambios

vtamara · 2021-08-13T09:12:04Z

app/views/usuarios/_campo_encrypted_password.html.erb

@@ -0,0 +1,2 @@
+<%= f.input :password %> 
+<%= f.input :password_confirmation %>


Favor quitar confirmación de clave. No me parece necesaria para creación de un usuario por parte de un administrador que es este contexto.

vtamara · 2021-08-13T09:12:16Z

lib/sip/concerns/controllers/usuarios_controller.rb

@@ -118,7 +118,8 @@ def lista_params_sip
              :idioma, 
              :email, 
              :tema_id, 
-              :encrypted_password, 
+              :encrypted_password,
+              :password_confirmation,


vtamara · 2021-08-13T09:13:30Z

lib/sip/concerns/models/usuario.rb

+          validates_presence_of :password, :on=>:create
+          validates_confirmation_of :password, :on=>:create
+          validate :password_complexity
+          def password_complexity


Nombres de funciones en español

vtamara · 2021-08-13T09:14:11Z

lib/sip/concerns/models/usuario.rb

@@ -81,8 +82,14 @@ def fechadeshabilitacion_posible?
            end
          end

-          validates_presence_of   :encrypted_password, :on=>:create
-          validates_confirmation_of   :encrypted_password, :on=>:create
+          validates_presence_of :password, :on=>:create


No me parece que cambie encrypted_password por password

vtamara · 2021-08-13T09:17:51Z

No veo sus pruebas tras ese cambio, por favor probar como afecta sivel2, cor1440 y si_jrscol

alejocruzrcc · 2021-08-18T15:30:28Z

Prueba: (probado en sivel2, sijrscol y cor1440). Se quitó lo de confirmación de contraseña. sin embargo se probó que la validación de presencia de password solo funciona con password y no con encrpted passwors. pienso que es por que se realiza la validación antes de encriptarse. igualmente se prueba la complejidad de password.

IMG_0054.MOV

vtamara · 2021-09-14T09:37:45Z

En base de datos actualmente queda lleno el campo encrypted_password con la clave cifrada y queda en blanco el campo password. Con este cambio que quedaría en la base de datos.
Que ocurre con las cuentas ya existentes?
Para cambios de clave en cuentas ya existentes, también saldrán advertencia?

vtamara requested changes Aug 13, 2021

View reviewed changes

alejocruzrcc added 2 commits August 19, 2021 17:54

mejora seguridad en login

d5178aa

mas mejoras login

2aaab38

alejocruzrcc force-pushed the devisec branch from e9d634c to 2aaab38 Compare August 19, 2021 22:55

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

R-428 sivel2_gen. mejora seguridad en Devise #64

R-428 sivel2_gen. mejora seguridad en Devise #64

alejocruzrcc commented Jul 30, 2021

vtamara left a comment

vtamara Aug 13, 2021

vtamara Aug 13, 2021

vtamara Aug 13, 2021

vtamara Aug 13, 2021

vtamara commented Aug 13, 2021

alejocruzrcc commented Aug 18, 2021

vtamara commented Sep 14, 2021

		@@ -0,0 +1,2 @@
		<%= f.input :password %>
		<%= f.input :password_confirmation %>

R-428 sivel2_gen. mejora seguridad en Devise #64

Are you sure you want to change the base?

R-428 sivel2_gen. mejora seguridad en Devise #64

Conversation

alejocruzrcc commented Jul 30, 2021

vtamara left a comment

Choose a reason for hiding this comment

vtamara Aug 13, 2021

Choose a reason for hiding this comment

vtamara Aug 13, 2021

Choose a reason for hiding this comment

vtamara Aug 13, 2021

Choose a reason for hiding this comment

vtamara Aug 13, 2021

Choose a reason for hiding this comment

vtamara commented Aug 13, 2021

alejocruzrcc commented Aug 18, 2021

vtamara commented Sep 14, 2021