miércoles, 26 de octubre de 2016

Configurar el aislamiento de un Espacio de Trabajo para evitar ataques del Navegador

Un tema muy importante a la hora de trabajar con APEX es la seguridad. Hay muchas maneras diferentes para dar mayor seguridad a nuestras aplicaciones, en este caso vamos a hablar sobre como el administrador de la Instancia puede aislar el espacio de trabajo para evitar posibles ataques del navegador.

El aislamiento de los espacios de trabajo es un método muy eficaz para la prevención de los ataques del navegador. La única forma de aislar verdaderamente un espacio de trabajo es forzar a cumplir diferentes dominios en la URL configurando el atributo “Permitir Nombres de Host”. Cuando las direcciones URL del atacante y la víctima tienen diferentes dominios y nombres de host, la política del mismo origen del navegador previene los ataques.

Para realizar esta tarea necesitamos ingresar a los Servicios de Administración de la Instancia.
  • Si usamos la configuración del Oracle REST Data Services, vamos a esta URL:
http://hostname:port/apex/apex_admin
               Donde: 
  • Hostname: es el nombre del sistema donde el ORDS está instalado, en mi caso en localhost 
  • Port: es el número de puerto asignado cuando configuramos el ORDS, por defecto es 8080 
  • Apex: es el nombre del servicio definido cuando configuramos el ORDS
Seguir Leyendo AQUI

1 comentario:

  1. Saludos Clarisa y Gisela!

    Aquí una principiante de Apex con una inquietud que agradecería me ayudaran a resolver.

    Estoy desarrollando una aplicación que quiero publicar pero tengo el inconveniente (quizás algunos no lo vean como tal) de que al publicarla, la configuración actual permite que se tenga acceso al menú de inicio de la herramienta de desarrollo de Apex.

    Pongo el ejemplo del siguiente sitio que funciona también de la manera que estoy tratando de explicar. Yo como usuaria al entrar al URL https://www.warranty.tupperware.com.au/ords/f?p=200:1:0:&tz=2:00 soy dirigida a la aplicación que se ha desarrollado en Apex, como tal. Sin embargo, si entro el URL como https://www.warranty.tupperware.com.au/ords he ganado acceso al Application Express Login. Yo no quiero que esta información esté expuesta a los usuarios. Quisiera que ésto fuera para ellos transparente.

    Ya he intentado, sin éxito, redirigir las peticiones que comiencen con /ords* hacia la página de inicio de mi aplicación, utilizando el rewriteValve de Tomcat.

    Quisiera saber si conocen de alguna manera en que pueda lograrlo. Muchas gracias por cualquier dato y saludos a ambas!

    ResponderEliminar