Comunicación protegida

La seguridad de la capa de transporte (TLS) es un protocolo de protección de las comunicaciones en Internet. La TLS se asegura de que otra entidad no lea ni modifique una comunicación. Blackboard Learn utiliza la TLS para proteger las comunicaciones entre el servidor web y el equipo del cliente.


Administración de sesiones

Ciclo de vida del ID de la sesión

Cada sesión de Blackboard Learn está protegida por un identificador de sesión criptográficamente seguro, que se almacena dentro de las cookies de un navegador. Para poder evitar los ataques de fijación de sesión, este identificador se rota al cargar la página, después de iniciar sesión exitosamente y después de cerrar sesión.

Cookies

De forma predeterminada, se establecen dos indicadores simples de cookies como medida adicional contra el secuestro de sesiones en las cookies relacionadas con la administración de sesiones: HttpOnly y Secure.

Las cookies session_id y s_session_id se utilizan para la administración de sesiones. Estas cookies tienen configurado el indicador HttpOnly. Este indicador proporciona una capa adicional de protección contra el acceso no autorizado por parte de secuencias de comandos del lado del cliente potencialmente maliciosas. Cuando la TLS se habilita en todo el sistema, aunque la cookie session_id aún esté presente, solo se utiliza la cookie s_session_id para la administración de sesiones. La cookie s_session_id tiene la protección adicional del indicador Secure. La cookie JSESSIONID no está relacionada con la administración de sesiones y no tiene los indicadores HttpOnly y Secure establecidos.

Expiración de la sesión

Las sesiones expiran automáticamente si un usuario ha estado inactivo por más tiempo del preestablecido. Las sesiones también pueden expirar de forma manual, al cerrar la sesión de forma explícita.


Huellas digitales de la sesión

Las huellas digitales de la sesión permiten detectar si la sesión de un usuario ha sido secuestrada por un atacante malintencionado. Una huella digital identifica de forma única a cada usuario. Por ejemplo, a través de la dirección IP de su equipo o del navegador (agente de usuario) que utilizan. Se trata de un control atenuante destinado a reducir el riesgo de secuestro de sesión por parte de un atacante malintencionado.

Blackboard recomienda encarecidamente habilitar este control. Para hacerlo correctamente, debe seleccionar las siguientes dos opciones: Habilitar huellas digitales de la sesión y Crear una sesión nueva al cambiar la huella digital.

Configurar las huellas digitales de la sesión

En el Panel del administrador, dentro de la sección Seguridad, haga clic en  Configuración de huellas digitales de la sesión. En la tabla a continuación, se describen los campos disponibles.

CampoDescripción
Activar las huellas digitales de la sesiónSeleccione para activar la huella digital de la sesión.
Ubicación del registroLa ubicación en la que se registraran los cambios realizados en las huellas de los usuarios. Para ver el contenido del registro, en el Panel del administrador, dentro de la sección Herramientas y utilidades, haga clic en  Registros.
Valor de huella digitalElija los valores que desee incluir en la huella digital de la sesión: dirección IP, agente de usuario, o ambos. Para minimizar las múltiples solicitudes de inicio de sesión, se recomienda usar solo la dirección IP, ya que los cambios en la dirección IP deberían ser menos frecuentes que los cambios en el agente de usuario.
  • Dirección IP: La dirección IP es la dirección del equipo del usuario. Por lo general, no cambiará durante una sesión. Sin embargo, hay casos en que esto puede ocurrir; por ejemplo, cuando se utilizan ciertos proveedores de servicios de Internet.
  • Agente de usuario: indica el navegador concreto que el usuario utiliza para acceder al sitio. En los sitios web modernos, el agente de usuario puede cambiar frecuentemente debido a que los reproductores multimedia y otros complementos de los navegadores se convierten en delegados de la sesión del usuario.
Filtrar direcciones IPSi selecciona Dirección IP o Dirección IP y agente de usuario en el campo Valor de huella digital, haga clic en para especificar que los intervalos de direcciones IP no se deben incluir en las huellas digitales de la sesión. Esto sirve para excluir los intervalos de IP de confianza. Para personalizar los intervalos de IP, modifique el archivo de configuración bb-session-fingerprint-excluded-addresses.txt.
Crear una nueva sesión cuando cambie la huella digital

Seleccione para forzar la creación de una sesión nueva cuando cambie la huella digital de un usuario. En el caso de los intentos de manipulación, la persona responsable verá la página de inicio de sesión, mientras que el usuario mantiene su sesión activa. No obstante, si se producen falsos positivos (como se menciona anteriormente en la sesión sobre valores de huella digital), el usuario tendrá que volver a iniciar la sesión. Esto implica un equilibrio entre seguridad y conveniencia.

Si selecciona la opción Sí para "Crear una nueva sesión cuando cambie la huella digital", aparecerá un mensaje de solicitud de inicio de sesión cuando se cargue el subprograma de múltiples archivos.