#88 Registrar en un log de aplicación los eventos relevantes relacionados con seguridad

[Gaston Martini]

Sería conveniente que ciertos eventos de la aplicación se registren en un log, para poder consultarlos con posterioridad.

Ejemplos:

• Verificaciones de seguridad que fallan (por ejemplo comprobación de token CSRF en firmas digitales, #87).
• Cierres de sesión por vencimiento.

[Gaston Martini]

• status changed from new to accepted

Para evitar la necesidad de implementar algo nuevo, se usa el objeto global $auditor para guardar las entradas de log. La desventaja de hacerlo de esta manera es que quedan mezcladas las entradas de log referentes a seguridad con las de operaciones en la BD, por lo cual se agrega un nuevo campo a los registrados el Auditor, que indica el tipo de entrada.

[Gaston Martini]

• En [490] se implementan cambios necesarios para resolver el ticket. En [491] y [494] se hacen cambios derivados de éstos.
• En [492] se registran los vencimientos de sesión.
• En [493] se registran errores de seguridad en operaciones de firma digital en formularios.

[Gaston Martini]

Importante: Para que sigan funcionando correctamente las aplicaciones que usan el parámetro de configuración log_por_bd == TRUE, es necesario aplicar en su base de datos los cambios que se encuentran en el archivo {xgap}/motores/{motor}/bd/update-2_15_0.sql.

[Gaston Martini]

• status changed from accepted to closed
• resolution set to fixed