martes, abril 04, 2017

Cómo proteger Umbraco CMS con Latch

Ayer por la noche conseguí robar algo de tiempo al reloj para pararme a ver en detalle cómo había sido creado y cómo funcionaba el plugin de Latch para Umbraco CMS, y me he decidido a escribiros una pequeña referencia sobre él, por la manera en que se ha concebido esta solución. Quería verlo en detalle, porque cada integración de Latch en un sistema depende de cómo la piense el desarrollador, ya que dependiendo de la manera en que se haga las características nuevas pueden cambiar.

Figura 1: Latch para Umbraco CMS

Hoy en día Latch es un sistema muy maduro, con muchas opciones, que permite configurar detalles en el Segundo Factor de Autorización muy diversos. Desde el uso de las Instancias para controlar detalles de manera dinámica, hasta el uso de los WebHooks[necesitas estar loggado] para recibir actualizaciones push aplicaciones, pasando por el uso de los códigos OTP, los listados de logs detallados, el reciente Cloud TOTP o la última implementación de Limited Secrets que tienes ya en la documentación.
Así, por poner un ejemplo usando integrado para mejorar la seguridad de WordPress, hemos visto que podíamos integrarlo con un Segundo Factor de Autenticación en el proceso de login de WordPress, pero también se puede poner como 2FA en los triggers de la base de datos como hicimos en la PoC de WordPress in Paranoid Mode, o cómo se podían, jugando con los ApplicationID controlar múltiples WordPress con un solo Latch.

PoC de Latch para Umbraco CMS

Jugando con las opciones de Latch puedes hacer muchas cosas. En esta implementación de Latch que se integra en Umbraco CMS - Umbraco CMS es un framework Open Source para gestionar sitios web -,  el plugin extiende las funcionalidades de administración. Al más puro WordPress in Paranoid Mode. Es decir, no es una implementación a nivel de usuario, sino a nivel de administración.

Figura 3: Configuración de Operaciones Latch en Umbraco CMS

Como se puede ver en la imagen, una vez instalado el plugin aparece una nueva sección en el panel de configuración del sitio. La única operación que hay en Latch para Umbraco al principio es para permitir o denegar el proceso de Login a todos los usuarios. Sin embargo, la implementación que se ha hecho del plugin permite al usuario administrador - desde el propio panel de Umbraco CMS - crear reglas dinámicamente para permitir o denegar determinadas acciones para un usuario en concreto o varios miembros del sitio.

Figura 4: Sitio web de Latch pra Umbraco CMS
Es decir, como se puede ver en la imagen, el administrador puede crear una regla dinámicamente que afecte a todos o a un usuario concreto, y que le permita o deniegue realizar una acción muy concreta con el panel de Umbraco CMS, como borrar contenido, crear contenido, o acceder al backoffice del sistema.

Figura 5: Vídeo de la PoC de Latch para Umbraco CMS

Con este plugin, el administrador tiene un control de lo que hacen todos los usuarios de Umbraco CMS en la plataforma, y el Latch se va configurando de forma dinámica, haciendo uso de las Instancias en Latch, lo que hace que aparezcan o desaparezcan de manera automática nuevos controles sobre el sitio. 

Figura 6: Latch para Umbraco CMS en GitHub

Tienes la documentación y el código de este plugin de Latch para Umbraco CMS en la web que el autor del mismo, Christian Amaya, ha hecho para mantenerlo y en el vídeo tienes un ejemplo de utilización muy claro para que se entienda su funcionamiento. Si tienes un sitio web con Umbraco CMS, puedes probarlo y sacarle partido.

Saludos Malignos!

No hay comentarios:

Entrada destacada

El creador de WannaCry es fan de Messi, no es muy ambicioso y usa Microsoft Word habitualmente en coreano

Esta semana, nuestros compañeros del laboratorio de ElevenPaths terminaban por publicar su análisis de WannaCry desde el punto de vista d...

Entradas populares