Inicio Tipología Herramientas Normativa  
Caja negra Caja Blanca  
   
Sistemas de gestión de usuarios
Pruebas positivas y negativas sobre sistemas de usuarios y grupos
Un sistema de gestión de usuarios (SGU) debe permitir la creación, edición y borrado de los mismos. Generalmente estos usuarios se catalogan con el fin de ser asignados a grupos, a los cuales se proporcionan diferentes permisos de acceso a la aplicación o a su información. El sistema de gestión de grupos debe estar estrechamente unido al de usuarios, así como al de las diferentes acciones que permiten ser realizadas por cada grupo. Desde el punto de vista del testing, existen una serie de pruebas negativas que pueden conducir al desequilibrio o mal funcionamientos de un SGU.
PRUEBAS POSITIVAS

Gestión de usuarios y grupos

Creación de usuarios y grupos
Crear usuarios y grupos, pero utilizando caracteres pertenecientes al ASCII extendido, es decir, con toda suerte de tildes, diéresis y símbolos situados en la zona en la que difieren el resto de encodings.

Edición de usuarios y grupos
Editar las propiedades de un usuario y comprobar que estos cambios han sido guardados correctamente en la base de datos

Borrado de usuarios y grupos
Borrar un usuario y comprobar que todos sus registros han sido eliminados (mala práctica) o marcados como borrados (buena práctica) en la base de datos. Eliminar los registros de la base de datos es una mala práctica porque podría perderse coherencia con las diferentes actividades que ha realizado el usuario y que han ido quedando guardadas en la base de datos haciendo referencia a él. No obstante, debe existir un procedimiento de borrado efectivo (no sólo marcado) por si un usuario lo solicita, para cumplir con la ley de protección de datos.

Cambio de contraseña del usuario
Al realizar el cambio de contraseña, comprobar que ésta se guarda codificada en la base de datos (por ejemplo, a través de un algoritmo MD5). No deben guardarse contraseñas sin encriptar en la base de datos.

Relación entre usuarios y grupos

Incluir usuarios en grupos
Comprobar que la relación se ha hecho efectiva a nivel de base de datos también

Eliminar relación entre usuarios y grupos
Comprobar que la relación ya no existe a nivel de base de datos también

Relación entre grupos y acciones

Gestión de acciones o permisos
Comprobar que es posible añadir o eliminar acciones o permisos a un grupo, a la par que la información se almacena correctamente en la base de datos

Acciones acumulativas
Comprobar que los permisos son acumulativos, es decir, que si un usuario pertenece a dos grupos con algunos permisos superpuestos, se le permite realizar las acciones conjuntas de ambos grupos. Es decir, si en un grupo se permite leer y escribir, y en un segundo se permite escribir y borrar, un usuario que pertenezca a ambos grupos será capaz de leer, escribir y borrar.
   
PRUEBAS NEGATIVAS

Con el usuario actual

Borrado del usuario actual
Si borramos el usuario actual no deberíamos de poder continuar trabajando con la aplicación. La aplicación debe impedir este borrado, o bien notificar al usuario de que, una vez eliminado el usuario, no va a ser posible realizar más acciones con el mismo.

Cambio del login del usuario actual
Aunque dependiendo del diseño de la base de datos esto podría o no podría ser posible, un buen diseño debe permitirlo. Debe comprobarse que en el caso de insertar un nombre de usuario que ya exista, la aplicación impedirá el cambio. No debe ser necesario volver a entrar en la aplicación con el nuevo nombre de usuario para continuar trabajando con ella

Eliminar permisos
No debe ser posible eliminar todos los permisos para el usuario actual, ya que no podríamos continuar trabajando con la aplicación.

Con otros usuarios o grupos

Crear o modificar usuario o grupo con espacios en el nombre de usuario
Dependiendo de cómo se haya diseñado el sistema esto puede provocar errores a la hora de entrar en la aplicación

Crear o modificar usuario con una contraseña vacía
El sistema debería aconsejar utilizar una contraseña, o simplemente no permitir la introducción de una contraseña vacía

Crear o modificar usuario o grupo con datos muy largos
Muchos tipos de dato no permiten almacenar más de 255 caracteres. Hemos de comprobar que los campos de introducción de nombre de usuario y contraseña están protegidos para no permitir entradas de más de 255 caracteres

Eliminar todos los grupos
No debe permitirse la eliminación de todos los grupos, porque de este modo ningún usuario podría trabajar con la aplicación

Con acciones o permisos

Acciones o permisos incompatibles
Comprobar que el sistema continúa funcionando correctamente si asignamos acciones sin sentido a un usuario, como por ejemplo si otorgamos permisos para borrar elementos pero no para verlos o modificarlos.


©2008-10 Redsauce Engineering Services S.L.
 
 
Novedades RSS Últimas novedades
  9 marzo 2010
Solicitud de subvenciones del Plan Avanza 2010 para la acreditación de CMMI DEV y la certificación de ISO 9001, ISO 15504, ISO 20000 e ISO 27001.		  
  1 marzo 2010
El Laboratorio Nacional de Calidad del Software publica nuevas guías orientadas a procesos de Adquisición e Ingeniería		  
 fuente: inteco.es

 
Novedades RSS Ofertas de empleo
  8 septiembre 2010
[Full-time] QA Tester at SperIT		  
  6 septiembre 2010
[Full-time] Software Test Engineer / Test Lead at Adecco		  
  5 septiembre 2010
[Full-time] Ingeniero Electrónico Validación / Test Sistemas HW/SW Automóvil at Rücker Lypsa		  
fuente: workinqa.com