Comunicación protegida
La seguridad de la capa de transporte (TLS) es un protocolo de protección de las comunicaciones en Internet. La TLS se asegura de que otra entidad no lea ni modifique una comunicación. Blackboard Learn utiliza la TLS para proteger las comunicaciones entre el servidor web y el equipo del cliente.
Administración de sesiones
Ciclo de vida del ID de la sesión
Cada sesión de Blackboard Learn está protegida por un identificador de sesión criptográficamente seguro, que se almacena dentro de las cookies de un navegador. Para poder evitar los ataques de fijación de sesión, este identificador se rota al cargar la página, después de iniciar sesión exitosamente y después de cerrar sesión.
Cookies
De forma predeterminada, se establecen dos indicadores simples de cookies como medida adicional contra el secuestro de sesiones en las cookies relacionadas con la administración de sesiones: HttpOnly y Secure.
Las cookies session_id y s_session_id se utilizan para la administración de sesiones. Estas cookies tienen configurado el indicador HttpOnly. Este indicador proporciona una capa adicional de protección contra el acceso no autorizado por parte de secuencias de comandos del lado del cliente potencialmente maliciosas. Cuando se habilita la TLS en todo el sistema, solo se utiliza la cookie s_session_id para la administración de sesiones, aunque la cookie session_id aún esté presente. La cookie s_session_id tiene la protección adicional del indicador Secure. La cookie JSESSIONID no está relacionada con la administración de sesiones y no tiene los indicadores HttpOnly y Secure.
Expiración de la sesión
Las sesiones expiran automáticamente si un usuario ha estado inactivo por más tiempo del preestablecido. Las sesiones también pueden expirar de forma manual, al cerrar la sesión de forma explícita.
Huellas digitales de la sesión
Las huellas digitales de la sesión permiten detectar si la sesión de un usuario ha sido secuestrada por un atacante malintencionado. Una huella digital identifica de forma única a cada usuario. Por ejemplo, a través de la dirección IP de su equipo o del navegador (agente de usuario) que utilizan. Se trata de un control atenuante destinado a reducir el riesgo de secuestro de sesión por parte de un atacante malintencionado.
Blackboard recomienda encarecidamente habilitar este control. Para hacerlo correctamente, debe seleccionar las siguientes dos opciones: Habilitar huellas digitales de la sesión y Crear una sesión nueva al cambiar la huella digital.
Configurar las huellas digitales de la sesión
En el Panel del administrador, dentro de la sección Seguridad, seleccione Configuración de huellas digitales de sesión. En la tabla a continuación, se describen los campos disponibles.
Campo | Descripción |
---|---|
Activar las huellas digitales de la sesión | Seleccione Sí para activar la huella digital de la sesión. |
Ubicación del registro | La ubicación en la que se registraran los cambios realizados en las huellas de los usuarios. Para ver el contenido del registro, en el Panel del administrador, dentro de la sección Herramientas y utilidades, haga clic en Registros. |
Valor de huella digital | Elija los valores que desee incluir en la huella digital de la sesión: dirección IP, agente de usuario, o ambos.Para minimizar las solicitudes de inicio de sesión múltiples, se recomienda usar solo la dirección IP, ya que los cambios en la dirección IP deberían ser menos frecuentes que los cambios en el agente de usuario.
|
Filtrar direcciones IP | Si selecciona Dirección IP o Dirección IP y agente de usuario en el campo Valor de huella digital, haga clic en Sí para especificar que los intervalos de direcciones IP no se deben incluir en las huellas digitales de la sesión. Esto sirve para excluir los intervalos de IP de confianza. Para personalizar los intervalos de IP, modifique el archivo de configuración bb-session-fingerprint-excluded-addresses.txt. |
Crear una nueva sesión cuando cambie la huella digital |
Seleccione Sí para forzar la creación de una sesión nueva cuando cambie la huella digital de un usuario. En el caso de los intentos de manipulación, la persona responsable verá la página de inicio de sesión, mientras que el usuario mantiene su sesión activa. No obstante, si se producen falsos positivos (como se menciona anteriormente en la sesión sobre valores de huella digital), el usuario tendrá que volver a iniciar la sesión. Esto implica un equilibrio entre seguridad y conveniencia. Si selecciona la opción Sí para "Crear una nueva sesión cuando cambie la huella digital", aparecerá un mensaje de solicitud de inicio de sesión cuando se cargue el subprograma de múltiples archivos. |