Comunicación protegida

La seguridad de la capa de transporte (TLS) es un protocolo de protección de las comunicaciones en Internet. La TLS se asegura de que otra entidad no lea ni modifique una comunicación. Blackboard Learn utiliza la TLS para proteger las comunicaciones entre el servidor web y el equipo del cliente.


Administración de sesiones

Ciclo de vida del ID de la sesión

Cada sesión de Blackboard Learn está protegida por un identificador de sesión criptográficamente seguro, que se almacena dentro de las cookies de un navegador. Para poder evitar los ataques de fijación de sesión, este identificador se rota al cargar la página, después de iniciar sesión exitosamente y después de cerrar sesión.

Cookies

De forma predeterminada, se establecen dos indicadores simples de cookies como medida adicional contra el secuestro de sesiones en la cookie relacionada con la administración de sesiones: HttpOnly y Secure.
 
BbRouter es la única cookie utilizada para la gestión de sesiones. Tiene el indicador HttpOnly que proporciona una capa adicional de protección contra el acceso no autorizado por parte de secuencias de comandos del lado del cliente potencialmente maliciosas. Learn requirió durante mucho tiempo que TLS se habilite en todo el sistema. Con mucha precaución, el indicador de seguridad está configurado para evitar que los navegadores envíen la cookie a través de HTTP sin TLS ("SSL").
 
La cookie JSESSIONID no está relacionada con la administración de sesiones y no tiene los indicadores HttpOnly y Secure establecidos.
 
En SaaS, hay dos cookies adicionales que no tienen los indicadores Secure y HttpOnly: AWSELB y AWSELBCORS. Learn no tiene estado en gran medida; sin embargo, existe un mínimo de afinidad de sesión que se implementa en el equilibrador de carga que usa esas cookies. Puede obtener más información sobre estas cookies en el artículo de AWS "Configure sesiones permanentes para su balanceador de carga clásico".

Expiración de la sesión

Las sesiones expiran automáticamente si un usuario ha estado inactivo por más tiempo del preestablecido. Las sesiones también pueden expirar de forma manual, al cerrar la sesión de forma explícita.


Huellas digitales de la sesión

Las huellas digitales de la sesión permiten detectar si la sesión de un usuario ha sido secuestrada por un atacante malintencionado. Una huella digital identifica de forma única a cada usuario. Por ejemplo, a través de la dirección IP de su equipo o del navegador (agente de usuario) que utilizan. Se trata de un control atenuante destinado a reducir el riesgo de secuestro de sesión por parte de un atacante malintencionado.

Blackboard recomienda encarecidamente habilitar este control. Para hacerlo correctamente, debe seleccionar las siguientes dos opciones: Habilitar huellas digitales de la sesión y Crear una sesión nueva al cambiar la huella digital.

Configurar las huellas digitales de la sesión

En el Panel del administrador, dentro de la sección Seguridad, seleccione Configuración de huellas digitales de sesión. En la tabla a continuación, se describen los campos disponibles.

CampoDescripción
Activar las huellas digitales de la sesiónSeleccione para activar la huella digital de la sesión.
Ubicación del registroLa ubicación en la que se registraran los cambios realizados en las huellas de los usuarios. Obtenga más información sobre los registros del sistema.
Valor de huella digital

Elija los valores que desee incluir en la huella digital de la sesión: Dirección IP, agente de usuario o ambos. Para minimizar las solicitudes de inicio de sesión múltiples, se recomienda usar solo la dirección IP, ya que los cambios en la dirección IP deberían ser menos frecuentes que los cambios en el agente de usuario.

  • Dirección IP: La dirección IP es la dirección del equipo del usuario. Por lo general, no cambiará durante una sesión. Sin embargo, hay casos en que esto puede ocurrir; por ejemplo, cuando se utilizan ciertos proveedores de servicios de Internet.
  • Agente de usuario: indica el navegador concreto, el sistema operativo y otros detalles menores de software sobre el navegador que el usuario utiliza para acceder al sitio. Este valor se genera por el navegador y puede no ser exacto. Por ejemplo, en Safari, la versión del sistema operativo nunca cambia. Por lo general, los usuarios pueden anularlo con extensiones del navegador.
Filtrar direcciones IPEsta opción se agregó con un conjunto de reglas predeterminadas para solucionar los problemas con AOL, un proveedor de servicios de Internet de EE. UU. Aunque esta característica aún funciona para ese propósito único, no debería usarse en ninguna otra capacidad, ya que no hay panel de control para editar el conjunto de reglas.
Crear una nueva sesión cuando cambie la huella digital

Seleccione para forzar la creación de una sesión nueva cuando cambie la huella digital de un usuario. En el caso de los intentos de manipulación, la persona responsable verá la página de inicio de sesión, mientras que el usuario mantiene su sesión activa. No obstante, si se producen falsos positivos (como se menciona anteriormente en la sesión sobre valores de huella digital), el usuario tendrá que volver a iniciar la sesión. Esto implica un equilibrio entre seguridad y conveniencia.

Si selecciona la opción Sí para "Crear una nueva sesión cuando cambie la huella digital", aparecerá un mensaje de solicitud de inicio de sesión cuando se cargue el subprograma de múltiples archivos.