3. SEGURIDAD

El sitio WEB ofrece servicios para usuarios que cumplen diferentes roles los cuales pueden ser visitantes del sitio no asociados, asociados, administradores de un fondo o cooperativa y administrador general del sitio. Las páginas y opciones de algunas páginas no pueden ser accedidas por todos los usuarios y adicionalmente el sistema deberá controlar que cuando un usuario no llegue a una opción a través de menús sino que teclee directamente una URL en el navegador, rechace al acceso.

3.1. Roles de los usuarios

A continuación se presentan los roles de los usuarios con sus correspondientes permisos y limitaciones.

Visitantes no asociados

Tienen acceso a las páginas inicial, institucional y de servicios. Si intentan acceder a las páginas de consultas, transacciones o administración, el sistema les presentará la página de autenticación donde deberán registrarse. Como no están registrados en la tabla asociados, no tendrán acceso a ninguna de estas páginas.

Asociados

Tienen acceso a las páginas inicial, institucional, servicios y consultas. Cuando este tipo de usuarios acceden a la página de consulta, el sistema les presentará la página de autenticación donde deberán registrarse. Estos usuarios están registrados en la tabla asociado, y al acceder a las opciones consulta de estado de cuenta y pagos, el sistema les mostrará la información relacionada con el asociado que se registra. Los asociados no tienen acceso a las páginas de Transacciones ni de Administración.

Administrador de Fondo

Tienen acceso a todas las páginas del sistema pero no a la opción Fondos de la página de administración. Su función básicamente consiste en la operación del sistema de cartera la cual está contenida en las opciones de la página Transacciones. También utiliza la página de administración para el mantenimiento de bancos, líneas de crédito/aportes y periodos

Administrador del Sistema

Es el encargado de crear un nuevo fondo o cooperativa. Tiene acceso a la opción Fondos de la página de Administración. Este tipo de usuario además tiene acceso al servidor para poder configurar el servidor WEB y el DNS como se explica en la sección 2.4 Especificación del software operativo y de su configuración .

3.2. Restricción de Acceso a las páginas

Los navegadores guardan el historial de los URL a las que se ha accedido y cualquier persona podría escribir directamente sobre la barra de direcciones del explorador, así que se debe restringir el acceso de tal manera que los usuarios no puedan pasar sin acceder a la página que comprueba si el usuario/contraseña es correcto y en la cual adicionalmente se debe definir su perfil, comprobándolo en la tabla asociado.

Para implementar este esquema, se debe recurrir al uso de variables de sesión donde se guarda si ese usuario ha sido autentificado o no. El código relacionado con la seguridad debe escribirse en un archivo independiente y se ejecutará como un include al principio de todas las páginas de la aplicación.

En el código de seguridad se comprueba la variable de sesión para saber si se ha autentificado el usuario o no, realizando las siguientes acciones:

Si no se había autentificado, se redirige el navegador a la página que tiene el formulario de autentificación. Además, debe salirse del script, con lo que la página deja de ejecutarse y el resto no se verá. Sólo se mandará al navegador la redirección con lo que el navegador se moverá al formulario y será imposible ver nada en la página segura.

Si se había autentificado, no se hace nada, de modo que se seguiría ejecutando la página con el contenido que correspondiese.