|
En el cliente tienen un certificado para utilizacion de HTTPS para el sitio Evolution, pero se tuvo mucho problema con el manejo de los Flujos de autorizacion, se configure HTTP para workflow y ya funciono, pero quedo la duda si habia problema de vulnerabilidad que se pueda violar el sitio por este cambio? |
|
Si el sitio de workflow está publico en internet, si existen riesgos de seguridad. La manera correcta de hacer esta instalación, es configurar el Evolution en su propio WebSite (no como directorio virtual) y corregir el "binding" para que únicamente escuche en el puerto 443 del SSL. Luego hay que crear otro website (no directorio virtual) e instalar allí el Workflow. Este sitio se puede o no configurar con el SSL pero debe escuchar en otro puerto que no sea el 80 o 443, respectivamente. Y cambiar la configuración de la ruta en el web.config de Evolution. Luego se configura el firewall, para que impida que se puedan realizar request al puerto asignado al Workflow desde fuera del servidor donde están instalados. Con esto se logra que únicamente el Evolution esté público y protegido con SSL y el workflow quede de acceso únicamente para Evolution. |
Podrías documentar en otra pregunta de QA, los problemas que se presentaron al configurar el workflow con el SSL.
Así podemos entender todos que te pasó y qué soluciones intentaste.