SlideShare una empresa de Scribd logo

Seguridad en Tryton

NaN-tic
NaN-tic

Presentación de los mecanismo de seguridad que incorpora el programa de gestión Tryton. Presentación realizada en las I Jornadas Tryton de 2016 en Barcelona.

1 de 18
Descargar para leer sin conexión
Seguridad en Tryton
1/Proyecto
● Si se notifica de un possible problema de seguridad a https://bugs.tryton.org se debe indicar que se trata de un problema de seguridad de forma que sólo unos pocos desarrolladores tienen acceso ● La revisión de código se hace también en privado ● Se pide un número CVE ● Se saca una nueva versión menor n.n.X para todas las versiones afectadas 1.1/Seguridad, en serio
2/Usuario
● Administrador a nivel de aplicación (por encima de las bases de datos). Permite: ● Crear y borrar bases de datos ● Realizar copias de seguridad y restaurarlas (no escalable) ● Password hash con crypt en el fichero de configuración (cuidado con los permisos!) 2.1/Superadministrador
● Configurable a partir de la 4.2 (password + SMS por ejemplo) ● Hash de la contraseña con sha1 o bcrypt si disponible (más lento!) 2.2/Login
● Se puede limitar acceso según: ● Objeto: ● Tabla ● Campo ● Botón/función ● Reglas de registros (corte horizontal) mediante dominio: ● Ejemplo: [('code', 'ilike', '7%')] ● Nivel: ● Lectura ● Creación ● Modificación ● Borrado 2.3/Grupos y usuarios
● Timeout para volver a pedir contraseña después de X tiempo de inactividad (timeout en fichero de configuración) ● Cada intento fallido aumenta el tiempo de espera del login (limitado por el tiepo de timeout) ● ¡¡¡Aumento exponencial!!! 2.4/Conexión y desconexión
● Reglas para nivel mínimo de dificultad de contraseñas ● Número de días de validez de una misma contraseña para un usuario ● Pide contraseña si ha expirado el tiempo ● Botón de reset de password para mandar correo electrónico al usuario 2.5/Módulo password_expiry
● audit_trail ● Registrar histórico de logins y logouts de los usuarios del sistema ● audit_log ● Permite ver en una sola pantalla todas las acciones realizadas por los usuarios ● Datos: ● Usuario ● Fecha y hora ● Creación/modificación/borrado ● Cambios realizados (si la tabla está historizada) ● No genera registro, cálculo a posteriori 2.6/Módulos de auditoría
3/Administración de sistemas
● Conexión local o cifrada ● trytond: utilizar usuario NO administrador pero con acceso a toda la base de datos 3.1/PostgreSQL
● Conexión segura https: ● Cliente web ● Cliente escritorio ● Webservices: XML-RPC y JSON-RPC ● Permisos se aplican también mediante los webservices ● Aplicaciones específicas (trytond / flask): Permisos a nivel de PostgreSQL 3.2/Conexiones
4/Programación
● Problema con los permisos: ● Es muuuuuy complejo dar los permisos necesarios para que un usuario ● Podemos utilizar: with Transaction().set_user(0): ● @ModelView.button 4.1/Permisos programación: root
● python-sql: Evita SQL injection cursor.execute(*action_report.select(action_report.id, action_report.report_content_data, order_by=action_report.id, limit=limit, offset=offset)) ● Simpleeval (en sustitución de safe_eval – que no era tant safe) ● PySON 4.2/Seguridad
http://www.NaN-tic.com Albert Cervera i Areny albert@nan-tic.com @albertnan linkedin.com/in/albertca
Seguridad en Tryton

Recomendados

Java mission control para monitoreo, administración y profilig de aplicacion...
Java mission control para monitoreo, administración y profilig de aplicacion...Java mission control para monitoreo, administración y profilig de aplicacion...
Java mission control para monitoreo, administración y profilig de aplicacion...
César Hernández
 
Una gota de elixir 2017
Una gota de elixir 2017Una gota de elixir 2017
Una gota de elixir 2017
Rafael Antonio Gutiérrez Turullols
 
Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...
César Hernández
 
PostgreSQL el core de OpenERP
PostgreSQL el core de OpenERPPostgreSQL el core de OpenERP
PostgreSQL el core de OpenERP
Cristian Salamea
 
Server side swift
Server side swiftServer side swift
Server side swift
Bruno Berisso
 
JConf Perú 2020 - ¡Micronaut en acción!
JConf Perú 2020 - ¡Micronaut en acción!JConf Perú 2020 - ¡Micronaut en acción!
JConf Perú 2020 - ¡Micronaut en acción!
Iván López Martín
 
Logistica en Tryton
Logistica en TrytonLogistica en Tryton
Logistica en Tryton
NaN-tic
 
Cómo aprovechar tu ERP
Cómo aprovechar tu ERPCómo aprovechar tu ERP
Cómo aprovechar tu ERP
NaN-tic
 

Recomendados

Java mission control para monitoreo, administración y profilig de aplicacion...
Java mission control para monitoreo, administración y profilig de aplicacion...Java mission control para monitoreo, administración y profilig de aplicacion...
Java mission control para monitoreo, administración y profilig de aplicacion...
César Hernández
 
Una gota de elixir 2017
Una gota de elixir 2017Una gota de elixir 2017
Una gota de elixir 2017
Rafael Antonio Gutiérrez Turullols
 
Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...Administración de la calidad del software a través del análisis estático de c...
Administración de la calidad del software a través del análisis estático de c...
César Hernández
 
PostgreSQL el core de OpenERP
PostgreSQL el core de OpenERPPostgreSQL el core de OpenERP
PostgreSQL el core de OpenERP
Cristian Salamea
 
Server side swift
Server side swiftServer side swift
Server side swift
Bruno Berisso
 
JConf Perú 2020 - ¡Micronaut en acción!
JConf Perú 2020 - ¡Micronaut en acción!JConf Perú 2020 - ¡Micronaut en acción!
JConf Perú 2020 - ¡Micronaut en acción!
Iván López Martín
 
Logistica en Tryton
Logistica en TrytonLogistica en Tryton
Logistica en Tryton
NaN-tic
 
Cómo aprovechar tu ERP
Cómo aprovechar tu ERPCómo aprovechar tu ERP
Cómo aprovechar tu ERP
NaN-tic
 
Introducción a la programación en Tryton
Introducción a la programación en TrytonIntroducción a la programación en Tryton
Introducción a la programación en Tryton
NaN-tic
 
Rendimiento del sistema Tryton
Rendimiento del sistema TrytonRendimiento del sistema Tryton
Rendimiento del sistema Tryton
NaN-tic
 
BaBI - Basic Business Intelligence for OpenERP
BaBI - Basic Business Intelligence for OpenERPBaBI - Basic Business Intelligence for OpenERP
BaBI - Basic Business Intelligence for OpenERP
NaN-tic
 
10 coses que has de saber abans d’escollir una eina de gestió empresarial
10 coses que has de saber abans d’escollir una eina de gestió empresarial10 coses que has de saber abans d’escollir una eina de gestió empresarial
10 coses que has de saber abans d’escollir una eina de gestió empresarialNaN-tic
 
Implantación de almacenes y producción
Implantación de almacenes y producciónImplantación de almacenes y producción
Implantación de almacenes y producción
NaN-tic
 
Tryton
TrytonTryton
Tryton
NaN-tic
 
Kafkadb
KafkadbKafkadb
Kafkadb
NaN-tic
 
ERPs en codi obert: una alternativa estratègica per a la gestió empresarial
ERPs en codi obert: una alternativa estratègica per a la gestió empresarialERPs en codi obert: una alternativa estratègica per a la gestió empresarial
ERPs en codi obert: una alternativa estratègica per a la gestió empresarial
NaN-tic
 
Noves tendències en eines de gestió empresarial de codi obert
Noves tendències en eines de gestió empresarial de codi obertNoves tendències en eines de gestió empresarial de codi obert
Noves tendències en eines de gestió empresarial de codi obert
NaN-tic
 
Introducción a tryton
Introducción a trytonIntroducción a tryton
Introducción a tryton
NaN-tic
 
Ppt cierre mesas
Ppt cierre mesasPpt cierre mesas
Ppt cierre mesas
maurigonza
 
Dh 22 red juvenil
Dh 22 red juvenilDh 22 red juvenil
Dh 22 red juvenil
daroviasocoph
 
las vanguardias
las vanguardiaslas vanguardias
las vanguardias
Tania Contento
 
Programa Lista B "Convergencia" /// FEUV Santiago 2016
Programa Lista B "Convergencia" /// FEUV Santiago 2016Programa Lista B "Convergencia" /// FEUV Santiago 2016
Programa Lista B "Convergencia" /// FEUV Santiago 2016
Darío Andrés Ahrens
 
Cms
Cms Cms
Cms
Dulce Romero Garcia
 
Guerrilla Marketing
Guerrilla MarketingGuerrilla Marketing
Guerrilla Marketing
Diego Ricol
 
Recesión, Empleo y Formación en Documentación
Recesión, Empleo y Formación en DocumentaciónRecesión, Empleo y Formación en Documentación
Recesión, Empleo y Formación en Documentación
Col·legi Oficial de Bibliotecaris i Documentalistes de la Comunitat Valenciana (COBDCV)
 
Act 3 higiene
Act 3 higieneAct 3 higiene
Act 3 higiene
milangelae
 
La persona más cara de la organización es la que no aporta nada a la rentabil...
La persona más cara de la organización es la que no aporta nada a la rentabil...La persona más cara de la organización es la que no aporta nada a la rentabil...
La persona más cara de la organización es la que no aporta nada a la rentabil...
ALITARA
 
Propuesta curso de marketing en internet 2012 (2)
Propuesta curso de marketing en internet 2012 (2)Propuesta curso de marketing en internet 2012 (2)
Propuesta curso de marketing en internet 2012 (2)
Nidia Arza
 
Logs y auditoría
Logs y auditoríaLogs y auditoría
Logs y auditoría
ProfesoraBrendaBarragan
 
Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windows
Henry Candelario
 

Más contenido relacionado

Destacado

Introducción a la programación en Tryton
Introducción a la programación en TrytonIntroducción a la programación en Tryton
Introducción a la programación en Tryton
NaN-tic
 
Rendimiento del sistema Tryton
Rendimiento del sistema TrytonRendimiento del sistema Tryton
Rendimiento del sistema Tryton
NaN-tic
 
BaBI - Basic Business Intelligence for OpenERP
BaBI - Basic Business Intelligence for OpenERPBaBI - Basic Business Intelligence for OpenERP
BaBI - Basic Business Intelligence for OpenERP
NaN-tic
 
10 coses que has de saber abans d’escollir una eina de gestió empresarial
10 coses que has de saber abans d’escollir una eina de gestió empresarial10 coses que has de saber abans d’escollir una eina de gestió empresarial
10 coses que has de saber abans d’escollir una eina de gestió empresarialNaN-tic
 
Implantación de almacenes y producción
Implantación de almacenes y producciónImplantación de almacenes y producción
Implantación de almacenes y producción
NaN-tic
 
Tryton
TrytonTryton
Tryton
NaN-tic
 
Kafkadb
KafkadbKafkadb
Kafkadb
NaN-tic
 
ERPs en codi obert: una alternativa estratègica per a la gestió empresarial
ERPs en codi obert: una alternativa estratègica per a la gestió empresarialERPs en codi obert: una alternativa estratègica per a la gestió empresarial
ERPs en codi obert: una alternativa estratègica per a la gestió empresarial
NaN-tic
 
Noves tendències en eines de gestió empresarial de codi obert
Noves tendències en eines de gestió empresarial de codi obertNoves tendències en eines de gestió empresarial de codi obert
Noves tendències en eines de gestió empresarial de codi obert
NaN-tic
 
Introducción a tryton
Introducción a trytonIntroducción a tryton
Introducción a tryton
NaN-tic
 
Ppt cierre mesas
Ppt cierre mesasPpt cierre mesas
Ppt cierre mesas
maurigonza
 
Dh 22 red juvenil
Dh 22 red juvenilDh 22 red juvenil
Dh 22 red juvenil
daroviasocoph
 
las vanguardias
las vanguardiaslas vanguardias
las vanguardias
Tania Contento
 
Programa Lista B "Convergencia" /// FEUV Santiago 2016
Programa Lista B "Convergencia" /// FEUV Santiago 2016Programa Lista B "Convergencia" /// FEUV Santiago 2016
Programa Lista B "Convergencia" /// FEUV Santiago 2016
Darío Andrés Ahrens
 
Cms
Cms Cms
Cms
Dulce Romero Garcia
 
Guerrilla Marketing
Guerrilla MarketingGuerrilla Marketing
Guerrilla Marketing
Diego Ricol
 
Recesión, Empleo y Formación en Documentación
Recesión, Empleo y Formación en DocumentaciónRecesión, Empleo y Formación en Documentación
Recesión, Empleo y Formación en Documentación
Col·legi Oficial de Bibliotecaris i Documentalistes de la Comunitat Valenciana (COBDCV)
 
Act 3 higiene
Act 3 higieneAct 3 higiene
Act 3 higiene
milangelae
 
La persona más cara de la organización es la que no aporta nada a la rentabil...
La persona más cara de la organización es la que no aporta nada a la rentabil...La persona más cara de la organización es la que no aporta nada a la rentabil...
La persona más cara de la organización es la que no aporta nada a la rentabil...
ALITARA
 
Propuesta curso de marketing en internet 2012 (2)
Propuesta curso de marketing en internet 2012 (2)Propuesta curso de marketing en internet 2012 (2)
Propuesta curso de marketing en internet 2012 (2)
Nidia Arza
 

Destacado (20)

Introducción a la programación en Tryton
Introducción a la programación en TrytonIntroducción a la programación en Tryton
Introducción a la programación en Tryton
 
Rendimiento del sistema Tryton
Rendimiento del sistema TrytonRendimiento del sistema Tryton
Rendimiento del sistema Tryton
 
BaBI - Basic Business Intelligence for OpenERP
BaBI - Basic Business Intelligence for OpenERPBaBI - Basic Business Intelligence for OpenERP
BaBI - Basic Business Intelligence for OpenERP
 
10 coses que has de saber abans d’escollir una eina de gestió empresarial
10 coses que has de saber abans d’escollir una eina de gestió empresarial10 coses que has de saber abans d’escollir una eina de gestió empresarial
10 coses que has de saber abans d’escollir una eina de gestió empresarial
 
Implantación de almacenes y producción
Implantación de almacenes y producciónImplantación de almacenes y producción
Implantación de almacenes y producción
 
Tryton
TrytonTryton
Tryton
 
Kafkadb
KafkadbKafkadb
Kafkadb
 
ERPs en codi obert: una alternativa estratègica per a la gestió empresarial
ERPs en codi obert: una alternativa estratègica per a la gestió empresarialERPs en codi obert: una alternativa estratègica per a la gestió empresarial
ERPs en codi obert: una alternativa estratègica per a la gestió empresarial
 
Noves tendències en eines de gestió empresarial de codi obert
Noves tendències en eines de gestió empresarial de codi obertNoves tendències en eines de gestió empresarial de codi obert
Noves tendències en eines de gestió empresarial de codi obert
 
Introducción a tryton
Introducción a trytonIntroducción a tryton
Introducción a tryton
 
Ppt cierre mesas
Ppt cierre mesasPpt cierre mesas
Ppt cierre mesas
 
Dh 22 red juvenil
Dh 22 red juvenilDh 22 red juvenil
Dh 22 red juvenil
 
las vanguardias
las vanguardiaslas vanguardias
las vanguardias
 
Programa Lista B "Convergencia" /// FEUV Santiago 2016
Programa Lista B "Convergencia" /// FEUV Santiago 2016Programa Lista B "Convergencia" /// FEUV Santiago 2016
Programa Lista B "Convergencia" /// FEUV Santiago 2016
 
Cms
Cms Cms
Cms
 
Guerrilla Marketing
Guerrilla MarketingGuerrilla Marketing
Guerrilla Marketing
 
Recesión, Empleo y Formación en Documentación
Recesión, Empleo y Formación en DocumentaciónRecesión, Empleo y Formación en Documentación
Recesión, Empleo y Formación en Documentación
 
Act 3 higiene
Act 3 higieneAct 3 higiene
Act 3 higiene
 
La persona más cara de la organización es la que no aporta nada a la rentabil...
La persona más cara de la organización es la que no aporta nada a la rentabil...La persona más cara de la organización es la que no aporta nada a la rentabil...
La persona más cara de la organización es la que no aporta nada a la rentabil...
 
Propuesta curso de marketing en internet 2012 (2)
Propuesta curso de marketing en internet 2012 (2)Propuesta curso de marketing en internet 2012 (2)
Propuesta curso de marketing en internet 2012 (2)
 

Similar a Seguridad en Tryton

Logs y auditoría
Logs y auditoríaLogs y auditoría
Logs y auditoría
ProfesoraBrendaBarragan
 
Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windows
Henry Candelario
 
Procesos, cuotas y control parental
Procesos, cuotas y control parentalProcesos, cuotas y control parental
Procesos, cuotas y control parental
karenodeth
 
Ssh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupSsh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backup
matateshion
 
Softonic Labs - Web Escalable
Softonic Labs - Web EscalableSoftonic Labs - Web Escalable
Softonic Labs - Web Escalable
Alex Puig
 
Coders cantabria - Junio (Offline First)
Coders cantabria - Junio (Offline First)Coders cantabria - Junio (Offline First)
Coders cantabria - Junio (Offline First)
Rocío Muñoz
 
Unidad 2-servidores-con-software-propietario
Unidad 2-servidores-con-software-propietarioUnidad 2-servidores-con-software-propietario
Unidad 2-servidores-con-software-propietario
Sacro Undercrown
 
Jaime
JaimeJaime
Jaime
guest9aeacd
 
SecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de desplieguesSecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de despliegues
Jose Luis Soria
 
Formato a bajo nivel
Formato a bajo nivelFormato a bajo nivel
Formato a bajo nivel
alexander171995
 
Formato a bajo nivel
Formato a bajo nivelFormato a bajo nivel
Formato a bajo nivel
alexander171995
 
Mrtg ubuntu
Mrtg ubuntuMrtg ubuntu
Mrtg ubuntu
Cheli Hedz
 
Tutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian SqueezeTutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian Squeeze
cercer
 
Tc3 paso4
Tc3 paso4Tc3 paso4
Tc3 paso4
andreschap24
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
Conferencias FIST
 
Sistema operativo
Sistema operativoSistema operativo
Sistema operativo
judgment_warrior
 
Logs en Linux.pdf
Logs en Linux.pdfLogs en Linux.pdf
Logs en Linux.pdf
MarceloLopez381236
 
Tec red modulo3-1
Tec red modulo3-1Tec red modulo3-1
Tec red modulo3-1
maxalonzohuaman
 
Administración y Comando Básicos
Administración y Comando BásicosAdministración y Comando Básicos
Administración y Comando Básicos
AbrilRojasMedina
 
Presentacion
PresentacionPresentacion
Presentacion
ssuser248fa4
 

Similar a Seguridad en Tryton (20)

Logs y auditoría
Logs y auditoríaLogs y auditoría
Logs y auditoría
 
Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windows
 
Procesos, cuotas y control parental
Procesos, cuotas y control parentalProcesos, cuotas y control parental
Procesos, cuotas y control parental
 
Ssh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupSsh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backup
 
Softonic Labs - Web Escalable
Softonic Labs - Web EscalableSoftonic Labs - Web Escalable
Softonic Labs - Web Escalable
 
Coders cantabria - Junio (Offline First)
Coders cantabria - Junio (Offline First)Coders cantabria - Junio (Offline First)
Coders cantabria - Junio (Offline First)
 
Unidad 2-servidores-con-software-propietario
Unidad 2-servidores-con-software-propietarioUnidad 2-servidores-con-software-propietario
Unidad 2-servidores-con-software-propietario
 
Jaime
JaimeJaime
Jaime
 
SecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de desplieguesSecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de despliegues
 
Formato a bajo nivel
Formato a bajo nivelFormato a bajo nivel
Formato a bajo nivel
 
Formato a bajo nivel
Formato a bajo nivelFormato a bajo nivel
Formato a bajo nivel
 
Mrtg ubuntu
Mrtg ubuntuMrtg ubuntu
Mrtg ubuntu
 
Tutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian SqueezeTutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian Squeeze
 
Tc3 paso4
Tc3 paso4Tc3 paso4
Tc3 paso4
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
Sistema operativo
Sistema operativoSistema operativo
Sistema operativo
 
Logs en Linux.pdf
Logs en Linux.pdfLogs en Linux.pdf
Logs en Linux.pdf
 
Tec red modulo3-1
Tec red modulo3-1Tec red modulo3-1
Tec red modulo3-1
 
Administración y Comando Básicos
Administración y Comando BásicosAdministración y Comando Básicos
Administración y Comando Básicos
 
Presentacion
PresentacionPresentacion
Presentacion
 

Más de NaN-tic

Tryton Unfrequently Given Answers
Tryton Unfrequently Given AnswersTryton Unfrequently Given Answers
Tryton Unfrequently Given Answers
NaN-tic
 
Arquitectura de PostgreSQL
Arquitectura de PostgreSQLArquitectura de PostgreSQL
Arquitectura de PostgreSQL
NaN-tic
 
ViDSigner & Tryton ERP: integración de firma digital segura
ViDSigner & Tryton ERP: integración de firma digital seguraViDSigner & Tryton ERP: integración de firma digital segura
ViDSigner & Tryton ERP: integración de firma digital segura
NaN-tic
 
Apps móviles para la gestión de almacenes
Apps móviles para la gestión de almacenesApps móviles para la gestión de almacenes
Apps móviles para la gestión de almacenes
NaN-tic
 
Gestión de poyectos de instalaciones con tryton erp
Gestión de poyectos de instalaciones con tryton erpGestión de poyectos de instalaciones con tryton erp
Gestión de poyectos de instalaciones con tryton erp
NaN-tic
 
La seguretat a Tryton
La seguretat a TrytonLa seguretat a Tryton
La seguretat a Tryton
NaN-tic
 
Durabilitat de la informació (i la inversió)
Durabilitat de la informació (i la inversió)Durabilitat de la informació (i la inversió)
Durabilitat de la informació (i la inversió)
NaN-tic
 
PostgreSQL: present and near future
PostgreSQL: present and near futurePostgreSQL: present and near future
PostgreSQL: present and near future
NaN-tic
 
Application Performance Monitoring in Tryton
Application Performance Monitoring in TrytonApplication Performance Monitoring in Tryton
Application Performance Monitoring in Tryton
NaN-tic
 
Reporting en tryton
Reporting en trytonReporting en tryton
Reporting en tryton
NaN-tic
 
Invoke y como poner en marcha un entorno de trabajo
Invoke y como poner en marcha un entorno de trabajoInvoke y como poner en marcha un entorno de trabajo
Invoke y como poner en marcha un entorno de trabajo
NaN-tic
 
Contratos y servicios de facturacion recurrente
Contratos y servicios de facturacion recurrenteContratos y servicios de facturacion recurrente
Contratos y servicios de facturacion recurrente
NaN-tic
 
Produccion en Tryton
Produccion en TrytonProduccion en Tryton
Produccion en Tryton
NaN-tic
 
BaBI - El motor de anàlisis de negocio
BaBI - El motor de anàlisis de negocioBaBI - El motor de anàlisis de negocio
BaBI - El motor de anàlisis de negocio
NaN-tic
 
Tryton como backend de páginas web
Tryton como backend de páginas webTryton como backend de páginas web
Tryton como backend de páginas web
NaN-tic
 
Com aprofitar el teu ERP
Com aprofitar el teu ERPCom aprofitar el teu ERP
Com aprofitar el teu ERP
NaN-tic
 
NaN-tic Bitz: Del negoci als bits
NaN-tic Bitz: Del negoci als bitsNaN-tic Bitz: Del negoci als bits
NaN-tic Bitz: Del negoci als bits
NaN-tic
 
Tryton
TrytonTryton
Tryton
NaN-tic
 
Començar des de zero sense finançament
Començar des de zero sense finançamentComençar des de zero sense finançament
Començar des de zero sense finançament
NaN-tic
 
Vertical para granjas de crianza y engorde OpenERP
Vertical para granjas de crianza y engorde OpenERPVertical para granjas de crianza y engorde OpenERP
Vertical para granjas de crianza y engorde OpenERP
NaN-tic
 

Más de NaN-tic (20)

Tryton Unfrequently Given Answers
Tryton Unfrequently Given AnswersTryton Unfrequently Given Answers
Tryton Unfrequently Given Answers
 
Arquitectura de PostgreSQL
Arquitectura de PostgreSQLArquitectura de PostgreSQL
Arquitectura de PostgreSQL
 
ViDSigner & Tryton ERP: integración de firma digital segura
ViDSigner & Tryton ERP: integración de firma digital seguraViDSigner & Tryton ERP: integración de firma digital segura
ViDSigner & Tryton ERP: integración de firma digital segura
 
Apps móviles para la gestión de almacenes
Apps móviles para la gestión de almacenesApps móviles para la gestión de almacenes
Apps móviles para la gestión de almacenes
 
Gestión de poyectos de instalaciones con tryton erp
Gestión de poyectos de instalaciones con tryton erpGestión de poyectos de instalaciones con tryton erp
Gestión de poyectos de instalaciones con tryton erp
 
La seguretat a Tryton
La seguretat a TrytonLa seguretat a Tryton
La seguretat a Tryton
 
Durabilitat de la informació (i la inversió)
Durabilitat de la informació (i la inversió)Durabilitat de la informació (i la inversió)
Durabilitat de la informació (i la inversió)
 
PostgreSQL: present and near future
PostgreSQL: present and near futurePostgreSQL: present and near future
PostgreSQL: present and near future
 
Application Performance Monitoring in Tryton
Application Performance Monitoring in TrytonApplication Performance Monitoring in Tryton
Application Performance Monitoring in Tryton
 
Reporting en tryton
Reporting en trytonReporting en tryton
Reporting en tryton
 
Invoke y como poner en marcha un entorno de trabajo
Invoke y como poner en marcha un entorno de trabajoInvoke y como poner en marcha un entorno de trabajo
Invoke y como poner en marcha un entorno de trabajo
 
Contratos y servicios de facturacion recurrente
Contratos y servicios de facturacion recurrenteContratos y servicios de facturacion recurrente
Contratos y servicios de facturacion recurrente
 
Produccion en Tryton
Produccion en TrytonProduccion en Tryton
Produccion en Tryton
 
BaBI - El motor de anàlisis de negocio
BaBI - El motor de anàlisis de negocioBaBI - El motor de anàlisis de negocio
BaBI - El motor de anàlisis de negocio
 
Tryton como backend de páginas web
Tryton como backend de páginas webTryton como backend de páginas web
Tryton como backend de páginas web
 
Com aprofitar el teu ERP
Com aprofitar el teu ERPCom aprofitar el teu ERP
Com aprofitar el teu ERP
 
NaN-tic Bitz: Del negoci als bits
NaN-tic Bitz: Del negoci als bitsNaN-tic Bitz: Del negoci als bits
NaN-tic Bitz: Del negoci als bits
 
Tryton
TrytonTryton
Tryton
 
Començar des de zero sense finançament
Començar des de zero sense finançamentComençar des de zero sense finançament
Començar des de zero sense finançament
 
Vertical para granjas de crianza y engorde OpenERP
Vertical para granjas de crianza y engorde OpenERPVertical para granjas de crianza y engorde OpenERP
Vertical para granjas de crianza y engorde OpenERP
 

Último

Gestión de Inventarios - Cadena de Sumnistro
Gestión de Inventarios - Cadena de SumnistroGestión de Inventarios - Cadena de Sumnistro
Gestión de Inventarios - Cadena de Sumnistro
hrbuildersaccom
 
Curso de Capacitación Cruz Roja Mexicana
Curso de Capacitación Cruz Roja MexicanaCurso de Capacitación Cruz Roja Mexicana
Curso de Capacitación Cruz Roja Mexicana
RobertoJesusCastillo1
 
Actividad Sumativa #2 Realizado por Luis Leal..pptx
Actividad Sumativa #2 Realizado por Luis Leal..pptxActividad Sumativa #2 Realizado por Luis Leal..pptx
Actividad Sumativa #2 Realizado por Luis Leal..pptx
luis95466
 
Sesión 1-2 Formulación de Estados Financieros (2).pdf
Sesión 1-2 Formulación de Estados Financieros (2).pdfSesión 1-2 Formulación de Estados Financieros (2).pdf
Sesión 1-2 Formulación de Estados Financieros (2).pdf
JhoanaSilvaHeredia
 
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
micarnavaltupatrimon
 
cafetales encalado y producción usos y costumbres
cafetales encalado y producción usos y costumbrescafetales encalado y producción usos y costumbres
cafetales encalado y producción usos y costumbres
DavidFloresJara
 
Normas de Seguridad Vial ISO 39001-2012.pdf
Normas de Seguridad Vial ISO 39001-2012.pdfNormas de Seguridad Vial ISO 39001-2012.pdf
Normas de Seguridad Vial ISO 39001-2012.pdf
henrywz8831
 
NIF C-1 Efectivo y equivalentes de efectivo.pptx
NIF C-1 Efectivo y equivalentes de efectivo.pptxNIF C-1 Efectivo y equivalentes de efectivo.pptx
NIF C-1 Efectivo y equivalentes de efectivo.pptx
sashadelynch27
 
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANOINVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
jennicaceres
 
Trabajo sobre Presupuesto Empresarial .pdf
Trabajo sobre Presupuesto Empresarial .pdfTrabajo sobre Presupuesto Empresarial .pdf
Trabajo sobre Presupuesto Empresarial .pdf
YennyGarcia45
 
Guia de emprendimientos para los alumnos
Guia de emprendimientos para los alumnosGuia de emprendimientos para los alumnos
Guia de emprendimientos para los alumnos
cantutecperu
 
capítulo 3 y 4 de finazas internacionales
capítulo 3 y 4 de finazas internacionalescapítulo 3 y 4 de finazas internacionales
capítulo 3 y 4 de finazas internacionales
josehernandez790860
 
Documentos comerciales, documento comercial
Documentos comerciales, documento comercialDocumentos comerciales, documento comercial
Documentos comerciales, documento comercial
JaimeMorra
 
ANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptx
ANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptxANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptx
ANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptx
PalJosuTiznadoCanaza
 
Clase 6.- Comercio Internacional y Acuerdos Comerciales.pptx
Clase 6.- Comercio Internacional y Acuerdos Comerciales.pptxClase 6.- Comercio Internacional y Acuerdos Comerciales.pptx
Clase 6.- Comercio Internacional y Acuerdos Comerciales.pptx
kimLore2
 
Tema 20 Cuentas Por Cobrar Finanzas I UNSA
Tema 20 Cuentas Por Cobrar Finanzas I UNSATema 20 Cuentas Por Cobrar Finanzas I UNSA
Tema 20 Cuentas Por Cobrar Finanzas I UNSA
GABRIELAALEXANDRASAI1
 
ORGANIZACIÓN EMPRESARIAL..............pptx
ORGANIZACIÓN EMPRESARIAL..............pptxORGANIZACIÓN EMPRESARIAL..............pptx
ORGANIZACIÓN EMPRESARIAL..............pptx
NoeliaLupacaInquilla1
 
DIRECTORIO órgano de control institucional - ABRIL 2024.pdf
DIRECTORIO órgano de control institucional - ABRIL 2024.pdfDIRECTORIO órgano de control institucional - ABRIL 2024.pdf
DIRECTORIO órgano de control institucional - ABRIL 2024.pdf
peruvip2
 
Bloqueo y candadeo, norma NOM-004-STPS-1999
Bloqueo y candadeo, norma NOM-004-STPS-1999Bloqueo y candadeo, norma NOM-004-STPS-1999
Bloqueo y candadeo, norma NOM-004-STPS-1999
MiguelZavala76
 
Calculo de amortización de un prestamo.pdf
Calculo de amortización de un prestamo.pdfCalculo de amortización de un prestamo.pdf
Calculo de amortización de un prestamo.pdf
LEIDYRIOFRIO
 

Último (20)

Gestión de Inventarios - Cadena de Sumnistro
Gestión de Inventarios - Cadena de SumnistroGestión de Inventarios - Cadena de Sumnistro
Gestión de Inventarios - Cadena de Sumnistro
 
Curso de Capacitación Cruz Roja Mexicana
Curso de Capacitación Cruz Roja MexicanaCurso de Capacitación Cruz Roja Mexicana
Curso de Capacitación Cruz Roja Mexicana
 
Actividad Sumativa #2 Realizado por Luis Leal..pptx
Actividad Sumativa #2 Realizado por Luis Leal..pptxActividad Sumativa #2 Realizado por Luis Leal..pptx
Actividad Sumativa #2 Realizado por Luis Leal..pptx
 
Sesión 1-2 Formulación de Estados Financieros (2).pdf
Sesión 1-2 Formulación de Estados Financieros (2).pdfSesión 1-2 Formulación de Estados Financieros (2).pdf
Sesión 1-2 Formulación de Estados Financieros (2).pdf
 
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
 
cafetales encalado y producción usos y costumbres
cafetales encalado y producción usos y costumbrescafetales encalado y producción usos y costumbres
cafetales encalado y producción usos y costumbres
 
Normas de Seguridad Vial ISO 39001-2012.pdf
Normas de Seguridad Vial ISO 39001-2012.pdfNormas de Seguridad Vial ISO 39001-2012.pdf
Normas de Seguridad Vial ISO 39001-2012.pdf
 
NIF C-1 Efectivo y equivalentes de efectivo.pptx
NIF C-1 Efectivo y equivalentes de efectivo.pptxNIF C-1 Efectivo y equivalentes de efectivo.pptx
NIF C-1 Efectivo y equivalentes de efectivo.pptx
 
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANOINVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
 
Trabajo sobre Presupuesto Empresarial .pdf
Trabajo sobre Presupuesto Empresarial .pdfTrabajo sobre Presupuesto Empresarial .pdf
Trabajo sobre Presupuesto Empresarial .pdf
 
Guia de emprendimientos para los alumnos
Guia de emprendimientos para los alumnosGuia de emprendimientos para los alumnos
Guia de emprendimientos para los alumnos
 
capítulo 3 y 4 de finazas internacionales
capítulo 3 y 4 de finazas internacionalescapítulo 3 y 4 de finazas internacionales
capítulo 3 y 4 de finazas internacionales
 
Documentos comerciales, documento comercial
Documentos comerciales, documento comercialDocumentos comerciales, documento comercial
Documentos comerciales, documento comercial
 
ANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptx
ANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptxANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptx
ANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptx
 
Clase 6.- Comercio Internacional y Acuerdos Comerciales.pptx
Clase 6.- Comercio Internacional y Acuerdos Comerciales.pptxClase 6.- Comercio Internacional y Acuerdos Comerciales.pptx
Clase 6.- Comercio Internacional y Acuerdos Comerciales.pptx
 
Tema 20 Cuentas Por Cobrar Finanzas I UNSA
Tema 20 Cuentas Por Cobrar Finanzas I UNSATema 20 Cuentas Por Cobrar Finanzas I UNSA
Tema 20 Cuentas Por Cobrar Finanzas I UNSA
 
ORGANIZACIÓN EMPRESARIAL..............pptx
ORGANIZACIÓN EMPRESARIAL..............pptxORGANIZACIÓN EMPRESARIAL..............pptx
ORGANIZACIÓN EMPRESARIAL..............pptx
 
DIRECTORIO órgano de control institucional - ABRIL 2024.pdf
DIRECTORIO órgano de control institucional - ABRIL 2024.pdfDIRECTORIO órgano de control institucional - ABRIL 2024.pdf
DIRECTORIO órgano de control institucional - ABRIL 2024.pdf
 
Bloqueo y candadeo, norma NOM-004-STPS-1999
Bloqueo y candadeo, norma NOM-004-STPS-1999Bloqueo y candadeo, norma NOM-004-STPS-1999
Bloqueo y candadeo, norma NOM-004-STPS-1999
 
Calculo de amortización de un prestamo.pdf
Calculo de amortización de un prestamo.pdfCalculo de amortización de un prestamo.pdf
Calculo de amortización de un prestamo.pdf
 

Seguridad en Tryton

  • 3. ● Si se notifica de un possible problema de seguridad a https://bugs.tryton.org se debe indicar que se trata de un problema de seguridad de forma que sólo unos pocos desarrolladores tienen acceso ● La revisión de código se hace también en privado ● Se pide un número CVE ● Se saca una nueva versión menor n.n.X para todas las versiones afectadas 1.1/Seguridad, en serio
  • 5. ● Administrador a nivel de aplicación (por encima de las bases de datos). Permite: ● Crear y borrar bases de datos ● Realizar copias de seguridad y restaurarlas (no escalable) ● Password hash con crypt en el fichero de configuración (cuidado con los permisos!) 2.1/Superadministrador
  • 6. ● Configurable a partir de la 4.2 (password + SMS por ejemplo) ● Hash de la contraseña con sha1 o bcrypt si disponible (más lento!) 2.2/Login
  • 7. ● Se puede limitar acceso según: ● Objeto: ● Tabla ● Campo ● Botón/función ● Reglas de registros (corte horizontal) mediante dominio: ● Ejemplo: [('code', 'ilike', '7%')] ● Nivel: ● Lectura ● Creación ● Modificación ● Borrado 2.3/Grupos y usuarios
  • 8. ● Timeout para volver a pedir contraseña después de X tiempo de inactividad (timeout en fichero de configuración) ● Cada intento fallido aumenta el tiempo de espera del login (limitado por el tiepo de timeout) ● ¡¡¡Aumento exponencial!!! 2.4/Conexión y desconexión
  • 9. ● Reglas para nivel mínimo de dificultad de contraseñas ● Número de días de validez de una misma contraseña para un usuario ● Pide contraseña si ha expirado el tiempo ● Botón de reset de password para mandar correo electrónico al usuario 2.5/Módulo password_expiry
  • 10. ● audit_trail ● Registrar histórico de logins y logouts de los usuarios del sistema ● audit_log ● Permite ver en una sola pantalla todas las acciones realizadas por los usuarios ● Datos: ● Usuario ● Fecha y hora ● Creación/modificación/borrado ● Cambios realizados (si la tabla está historizada) ● No genera registro, cálculo a posteriori 2.6/Módulos de auditoría
  • 12. ● Conexión local o cifrada ● trytond: utilizar usuario NO administrador pero con acceso a toda la base de datos 3.1/PostgreSQL
  • 13. ● Conexión segura https: ● Cliente web ● Cliente escritorio ● Webservices: XML-RPC y JSON-RPC ● Permisos se aplican también mediante los webservices ● Aplicaciones específicas (trytond / flask): Permisos a nivel de PostgreSQL 3.2/Conexiones
  • 15. ● Problema con los permisos: ● Es muuuuuy complejo dar los permisos necesarios para que un usuario ● Podemos utilizar: with Transaction().set_user(0): ● @ModelView.button 4.1/Permisos programación: root
  • 16. ● python-sql: Evita SQL injection cursor.execute(*action_report.select(action_report.id, action_report.report_content_data, order_by=action_report.id, limit=limit, offset=offset)) ● Simpleeval (en sustitución de safe_eval – que no era tant safe) ● PySON 4.2/Seguridad
  • 17. http://www.NaN-tic.com Albert Cervera i Areny albert@nan-tic.com @albertnan linkedin.com/in/albertca