La forma en que Elgg aborda los diversos problemas de seguridad es la misma que la del resto de aplicaciones scb security token user guide. Passwords are never stored, only salted hashes produced with bcrypt. Elgg installations created before version 1. 10 may have residual legacy password hashes created using salted MD5.

These are migrated to bcrypt as users log in, and will be completely removed when a system is upgraded to Elgg 3. In the meantime we’re happy to assist site owners to manually remove these legacy hashes, though it would force those users to reset their passwords. Elgg cuenta con un mecanismo de regulación de accesos que dificulta en gran medida los ataques de diccionario desde el exterior. Los usuarios sólo pueden hacer hasta 5 intentos de acceder al sistema durante un período de 5 minutos. Si un usuario se olvida de su contraseña, se puede solicitar una nueva contraseña generada aleatoriamente.

Tras la solicitud, se envía un mensaje de correo electrónico al usuario con una URL única. Elgg usa la gestión de sesiones de PHP con manejadores personalizados. Los datos de las sesiones se almacenan en la base de datos. La cookie de la sesión contiene el identificador de la sesión, que asocia el usuario con el navegador. Elgg le protege contra la fijación de la sesión mediante la generación de un nuevo identificador de sesión cada vez que accede al sitio.

Además de proteger contra ataques de fijación de sesión, Elgg cuenta con una comprobación adicional que intenta evitar el robo de sesión si el identificador de la sesión se ve comprometido. El uso del secreto del sitio es un poco superfluo, pero la comprobación de la información del navegador podría evitar algunos intentos de robo de sesión. Esta sección no es muy precisa. Debe activar la compatibilidad con SSL en su servidor para que las siguientes técnicas funcionen.