El módulo Real Name no sólo es útil como una buena manera de visualizar los nombres de usuario de una manera mucho más amigable, también se convierte en una herramienta imprescindible para prevenir ataques de tipo Username Enumeration.
Como ya comentábamos en una entrada anterior, los ataques del tipo Username Enumeration están destinados a listar los usuarios de un determinado sitio web para posteriormente realizar un ataque más sofisticado, normalmente por fuerza bruta. Una vez que conocen el nombre de usuario tienen la mitad del trabajo hecho y pueden emplear algún diccionario de claves para intentar acceder a nuestra página. Mediante el empleo del módulo Username Enumeration Prevention podemos impedir que accedan a los nombres de los usuarios utilizando para ello la recuperación de contraseñas del módulo de acceso de Drupal, pero no es esta la única manera por la cual un atacante pueda conocer nuestros nombres de usuario. Se lo estamos dando, por ejemplo, cada vez que creamos un contenido en nuestro sitio y tenemos seleccionada la opción de mostrar autoría.
Para que esto no suceda podemos emplear el módulo Real Name, con el cual el administrador del sistema podrá seleccionar que campos serán los empleados para mostrar el nombre de los usuarios y por lo tanto ocultar el utilizado para el acceso al sitio. Hasta hace poco no disponíamos de versión para Drupal 8, pero se acaba de lanzar la primera beta, que por lo menos hasta el momento, funciona a la perfección y de igual manera que con Drupal 7.
Una vez que hemos instalado el módulo y lo hemos activado (necesitaremos instalar, si no lo tenemos ya, adicionalmente el módulo Token), el primer paso que debemos realizar es crearnos los campos que vamos a utilizar para mostrar el nombre del usuario. En el caso, por ejemplo, que lo que queramos sea visualizar el nombre real de los mismos (nombre y apellido por ejemplo) crearemos dos campos nuevos en Configuración > Personas > Configuración de la cuenta > Administrar campos, uno al que llamaremos Nombre y otro Apellidos, ambos del tipo Texto (Plano).
Una vez que hemos creado los nuevos campos, accederemos a nuestro perfil de usuario para rellenarlos y que no aparezcan vacíos. A continuación accederemos a Configuración > Personas > RealName y sustituiremos el valor por defecto (user:account-name) por los tokens de los dos campos que nos acabamos de crear.
Después de guardar la nueva configuración, si accedemos a nuestro sitio podremos ver que donde antes se veía nuestro nombre de usuario ahora se visualiza nuestro nombre y apellidos, con lo que ocultamos nuestro nombre de usuario del sistema y evitamos dar más información de la necesaria a los amigos de los ajeno.
Añadir nuevo comentario