Configuraciones de seguridad

Forzar a los usuarios a identificarse para ver los perfiles

Esta configuración obliga a las personas a iniciar sesión como una cuenta real (que no es de invitado) antes de ver el perfil de cualquier usuario. Si deshabilita esta configuración, los usuarios podrán editar su perfil e incluir potencialmente publicidad/spam o contenido inapropiado. 

-

Forzar a los usuarios a identificarse para ver los avatares de los usuarios

Si esta opción está habilitada, los usuarios deben iniciar sesión para ver las imágenes del perfil de usuario, y la imagen de usuario predeterminada se utilizará en todos los correos electrónicos de notificación.

-

Prevenir varios accesos por el mismo usuario

Si está habilitado, un usuario solo puede iniciar sesión en su cuenta desde una sola ubicación. Si hay un segundo inicio de sesión con una cuenta, el primero de ellos se desconectará automáticamente.

Habilitar múltiples inicios de sesión permite a los administradores del sitio “iniciar sesión como” un usuario conectado mientras proporcionan soporte técnico en vivo. 

Ir a Google

Si habilita esta configuración, Google podrá ingresar a su sitio como invitado. Además, las personas que ingresan a su sitio a través de una búsqueda en Google iniciarán sesión automáticamente como invitados. Tenga en cuenta que esto solo proporciona acceso transparente a áreas de su sitio y cursos que ya permiten el acceso de los huéspedes.

-

Permitir el acceso público a imágenes de artículos del catálogo

Habilitar esta configuración permite que los servicios web externos accedan a las imágenes del catálogo desde su catálogo utilizando la URL de la imagen. Esto permite que estas imágenes del catálogo se muestren en el contenido del catálogo de otros sistemas. Si ha configurado alguna integración, como una aplicaciónde Microsoft Teams, estos pueden acceder a imágenes de catálogo cuando esta configuración está habilitada.

Esta configuración está deshabilitada de forma predeterminada. Tenga en cuenta que esto permite que cualquier persona acceda a las imágenes de su catálogo si tiene las URL directas.

Roles de perfil visibles

Lista de roles que son visibles en los perfiles de usuario y las páginas de participantes.

-

Tamaño máximo del archivo subido

Esta configuración especifica un tamaño máximo para los archivos cargados en todo el sitio. Esta configuración está limitada por la configuración de PHP post_max_size y upload_max_filesize (en php.ini), así como la configuración de Apache LimitRequestBody. A su vez, los maxbytes limitan el rango de tamaños que se pueden elegir a nivel del curso o del módulo. Si se elige el Límite del servidor, se utilizará el máximo permitido por el servidor.

Los tamaños de los archivos de carga pueden restringirse de varias maneras: 

• Nivel de servidor 
• Nivel del sitio 
• Nivel del curso 
• Nivel de actividad

-

Cuota de usuarios

La cantidad máxima de bytes que un usuario puede almacenar en su propia área de archivo privada. El valor predeterminado es 04857600 bytes o 100MB.

-

Deshabilitar la limpieza constante

Desactiva la limpieza consistente de contenido de Totara.

Puede obtener más información sobre la desinfección de contenido en Totara 13 en adelante en la documentación del desarrollador.

Permitir etiquetas EMBED y OBJETO

Como medida de seguridad predeterminada, los usuarios normales no pueden incorporar multimedia (como Flash) dentro del texto utilizando etiquetas explícitas EMBED y OBJECT en su HTML (aunque aún se puede hacer de manera segura utilizando el filtro de plugins de medios). Si desea permitir estas etiquetas, habilite esta opción.

Esta opción solo aparecerá si la configuración Desactivar limpieza constante está habilitada.

Tiempo máximo para editar la publicación

 Esto especifica la cantidad de tiempo que los usuarios tienen para volver a editar las publicaciones del foro, los comentarios del glosario, etc.   Permitir a los usuarios este período de enfriamiento después de enviar una publicación de entrada al foro/glosario les da tiempo para revisar el contenido, verificar la ortografía y la gramática.

Las publicaciones de foros que aún están en el período de edición son visibles en el foro correspondiente, pero el mensaje no se enviará a ningún usuario suscrito hasta que haya pasado el período de publicación de edición.

Permitir caracteres extendidos en nombres de usuario

Habilite esta configuración para permitir que los usuarios usen caracteres en sus nombres de usuario (tenga en cuenta que esto no afecta sus nombres reales). El valor predeterminado es No, que restringe los nombres de usuario a caracteres alfanuméricos en minúscula, guión bajo (_), guión (-), punto (.) o símbolo (@). 

Esta opción debe estar habilitada para que el sitio utilice direcciones de correo electrónico para nombres de usuario.

URL con la política del sitio

Si tiene una política del sitio que todos los usuarios registrados deben ver y aceptar antes de acceder al resto del sitio, especifique la URL aquí; de lo contrario, deje este campo en blanco.   La URL puede apuntar a cualquier tipo de archivo en cualquier lugar en línea al que se pueda acceder sin iniciar sesión en su sitio de Totara.

• Se recomienda que la política del sitio esté en el mismo dominio que Totara, ya que los usuarios de Internet Explorer verán una pantalla en blanco cuando la política del sitio esté en un dominio diferente.
• La política del sitio se mostrará en un marco. Puede verlo a través de la URL yourtotarasite.com/user/policy.php.
• Si el autoregistro basado en correo electrónico está habilitado en el sitio, se muestra un enlace a la política del sitio en la página de registro.

No se recomienda utilizar un recurso de página como política del sitio, ya que el encabezado del sitio se repetirá en iframe.

Esta opción no aparecerá si Habilitar políticas del sitio está marcada en el menú Acceso rápido > Configurar funciones. Cualquier política vinculada aquí será sobrescrita por la nueva política del sitio.

Siempre que sea posible, debe utilizar la funcionalidad de políticas del sitio dedicadas, que incluye funciones como políticas en varios idiomas, control de versiones e informes sobre el consentimiento de la política.

URL con la política del sitio para invitados

Si tiene una política del sitio que todos los huéspedes deben ver y aceptar antes de usar este sitio, especifique la URL aquí; de lo contrario, deje este campo en blanco. Esta configuración puede contener cualquier URL pública. 

El acceso de usuarios no conectados puede evitarse con la configuración de inicio de sesión forzado.

Esta opción no aparecerá si Habilitar políticas del sitio está marcada en el menú Acceso rápido > Configurar funciones. Cualquier política vinculada aquí será sobrescrita por la nueva política del sitio.

Mantener 'casing' de nombre de marca

Marque esta opción si desea que los nombres de las etiquetas conserven la carcasa original según lo ingresado por los usuarios que las crearon. Si está marcada, se mostrarán etiquetas como las siguientes: RUGBY, gUiTaR, totara

Si no está marcada, todas las etiquetas se mostrarán de la siguiente manera: Rugby, guitarra, Totara.

Para inglés, es posible que desee dejar esta configuración desactivada. En el caso de los japoneses, no se realizan cambios de ninguna manera. Para los idiomas en los que este tipo de mayúsculas cambia el significado, es mejor mantener esta opción habilitada.

Perfiles solo para usuarios inscritos

Para evitar el uso indebido por parte de los spammers, las descripciones de los perfiles de los usuarios que aún no están inscritos en ningún curso están ocultas. Los usuarios nuevos deben inscribirse en al menos un curso antes de poder agregar una descripción de perfil. 

-

Ejecución de cron solo mediante comandos

La ejecución del cron desde un navegador web puede exponer información privilegiada a usuarios anónimos. Por lo tanto, se recomienda ejecutar el cron únicamente desde la línea de comandos o establecer una contraseña de cron para el acceso remoto.

-

Contraseña de cron para acceso remoto

Esto significa que el script cron.php no se puede ejecutar desde un navegador web sin proporcionar la contraseña utilizando la siguiente forma de URL: http://site.example.com/admin/cron.php?password=opensesame

Si esto se deja vacío, no se requiere contraseña.

-

Umbral de bloqueo de la cuenta

Después de un número específico de intentos de inicio de sesión fallidos, la cuenta de un usuario se bloquea y se le envía un correo electrónico que contiene una URL para desbloquear la cuenta. Establecer esto en No significa que no hay umbral y una cuenta que intenta iniciar sesión puede hacerlo una cantidad ilimitada de veces.

-

Ventana de observación de cuenta bloqueada

Tiempo de observación para el umbral de bloqueo; si no hay intentos fallidos, el contador se restablece después de este tiempo. Este es el contador de cuánto tiempo debe estar atento a más intentos fallidos por parte de una cuenta que intenta iniciar sesión incluso después de haber sido bloqueado. El contador se restablecerá en cada intento y durará tanto tiempo.

-

Tiempo de duración del bloqueo

Las cuentas bloqueadas se desbloquean automáticamente después de esta duración. Un administrador del sitio también puede desbloquear una cuenta a través del menú de acceso rápido > Usuarios > Cuentas > Explorar lista de usuarios.

-

Política de contraseñas

Al activar esta opción, Totara verificará las contraseñas de los usuarios contra una política de contraseñas válida. Se recomienda encarecidamente que se establezca una política de contraseñas para obligar a los usuarios a usar contraseñas más seguras que sean menos susceptibles a ser descifradas por un intruso. Utilice la configuración a continuación para especificar su política (se ignorarán si configura esto en No).

Si un usuario ingresa una contraseña que no cumple con los requisitos, se le envía un mensaje de error que indica el problema con la contraseña ingresada.

Habilitar la política de contraseñas no afecta a los usuarios existentes hasta que decidan cambiar su contraseña o se les exija hacerlo. Un administrador del sitio puede forzar a todos los usuarios a cambiar su contraseña utilizando la opción Forzar cambio de contraseña con acciones masivasde usuario .

La política de contraseñas también puede aplicarse a las claves de inscripción marcando la casilla de verificación Usar política de contraseñas en la configuración de Autoinscripción.

Longitud de la contraseña

Las contraseñas deben tener al menos estos caracteres.

-

Dígitos

Las contraseñas deben contener estos dígitos.

-

Minúsculas

Las contraseñas deben contener al menos estas letras minúsculas.

-

Mayúsculas

Las contraseñas deben tener al menos estas letras mayúsculas.

-

Caracteres no alfanuméricos

Las contraseñas deben tener al menos estos caracteres no alfanuméricos.

-

Caracteres consecutivos idénticos

Las contraseñas no deben tener más de este número de caracteres idénticos consecutivos. Ingrese 0 para deshabilitar este cheque.

-

Límite de rotación de la contraseña

Número de veces que un usuario debe cambiar su contraseña antes de poder volver a reutilizar una contraseña. Los hashes de contraseñas generadas previamente son almacenados en una base de datos local.

Esta característica puede no ser compatible con algunos plugins de autenticación externos.

Tiempo máximo para validar una solicitud de restablecimiento de contraseña

Esto especifica la cantidad de tiempo que las personas tienen para validar una solicitud de restablecimiento de contraseña antes de que caduque. Para la mayoría de los casos de uso, 30 minutos es un valor adecuado. 

-

Salir después del cambio de contraseña

De manera predeterminada, los usuarios pueden cambiar su contraseña y permanecer conectados. Al habilitar esta configuración, se cerrará la sesión de las sesiones existentes, excepto en la que especifiquen su nueva contraseña. Esta configuración solo se aplica a los usuarios que cambian manualmente su contraseña, no a los cambios masivos de contraseña.

-

Política de claves de inscripción de grupos

Al activar esta opción, Totara verificará las claves de inscripción del grupo contra una política de contraseña válida.

-

Desactivar imágenes en el perfil del usuario

Desactiva la posibilidad de que los usuarios cambien las imágenes de sus perfiles.

-

Confirmar cambio de correo electrónico

Requerir un paso de confirmación de correo electrónico cuando los usuarios cambien su dirección de correo electrónico en su perfil. 

-

Recordar nombre de usuario

Habilite si desea almacenar cookies permanentes con nombres de usuario durante el inicio de sesión del usuario. 

Esto almacenará cookies permanentes y, en algunos países, puede considerarse un problema de privacidad si se utiliza sin consentimiento. 

Validación estricta de campos obligatorios

Si la opción está activada, se impide a los usuarios introducir un espacio en blanco o un salto de línea en los campos obligatorios de los formularios.

-

Inicio de sesión persistente

Si esto está habilitado, aparecerá una opción Recordar inicio de sesión en la página de inicio de sesión. Cualquier usuario que inicie sesión puede marcar esta casilla para habilitar un inicio de sesión persistente, lo que significa que no se agotará el tiempo de espera y tendrá que iniciar sesión nuevamente.

Esta configuración funciona al volver a iniciar sesión sin problemas con un usuario después de que la sesión expira. Aunque los formularios que se estaban completando aún deben poder enviarse cuando la nueva sesión cargue, es posible que se pierda otra información, como filtros en el generador de informes.

El usuario no podrá notar cuándo se inicia la nueva sesión.

La opción Recordar inicio de sesión reemplaza la opción anterior Recordar nombre de usuario.

Además, vale la pena señalar que cuando esta configuración está habilitada, se produce una advertencia en el informe de seguridad. Esto se debe a que cuando se habilitan los inicios de sesión persistentes, se ignoran los tiempos de espera de sesión estándar y se establece una cookie permanente del navegador. Esta cookie se utiliza más tarde para volver a iniciar sesión automáticamente en el usuario después del reinicio del navegador o del tiempo de espera de la sesión.