Блог

Наши новости, публикации и мысли.

Политика безопасности в 1С Битрикс

Политика безопасности – это свод правил, которые ограничивают возможность авторизации пользователей сайта, разработанных в целях формирования определенного уровня безопасности ресурса.

Политика безопасности в 1C Битрикс индивидуально настраивается для группы пользователей. Существуют следующие правила настройки:

  • привязка активной сессии к IP-адресу или к определенной сети по маске – если включить данную защиту это гарантирует бесполезность перехвата идентификатора сессии. Данное правило защиты считается одним из самых важных для защиты от атак XSS/CSS;
  • указание периода активности сессии, чтобы откорректировать параметры PHP на хостинге;
  • настройка периода активности авторизации, которая хранится на локальном компьютере посетителя (галочка «запомнить себя»), а, кроме того, привязка ее к определенному IP-адресу или к сети адресов по маске. Применение этой защиты гарантированно делает неэффективными различные атаки класса XSS/CSS на локальный компьютер пользователя, а так же полностью бесполезным хищение информации для авторизации с компьютера. Данные пользователя генерируются случайным образом, не включают криптографической информации для анализа и IP-адрес локального компьютера.
  • указание максимального числа одновременно запомненных авторизаций для одного пользователя. В случае если установлено ограничение 10, пользователь может запомнить себя исключительно на 10 локальных компьютерах с различными IP-адресами. Затем старые авторизации, которые были запомнены, будут вытесняться, после чего удаляться. По умолчанию данное правило для администраторов равно единице.
  • указание периода активности контрольного слова, которое предназначено для восстановления пароля. Данное это правило дает возможность минимизировать риски взлома с использованием механизма восстановления пароля при перехвате электронных писем.

Для группы Администраторов по умолчанию установлен высокий уровень безопасности.

Для пользователей, которые относятся к ряду групп, действует наиболее строгое правило безопасности по пунктам, а, следовательно, применяется максимально строгая политика безопасности.

Авторизация

  • внешняя авторизация – это возможность производства проверки логина и пароля пользователя согласно алгоритму авторизации или на удаленном сервере. В поставке продукта есть пример внешней авторизации для пользователей форумов Invision, PHP BB, а, кроме того, для ресурсов, разработанных на базе продукта и находящихся на других серверах;
  • передача авторизации между доменами веб-ресурсов;
  • полная поддержка способа авторизации OpenID и LiveID.

Последние записи

  • При использовании замечательной библиотеки AngularUI для AngularJS может возникнуть проблема со стандартной директивой Typeahead из набора для Bootstrap. Дизайнер UI/UX может потребовать отображать список по фокусу в...
    24 марта 2014
  • После завершения создания сайта встает вопрос об оптимизации загрузки кода. Минификация javascript файлов позволяет уменьшить их размер путем удаления лишних символов, при этом обычно используют обфускацию, т.е....
    04 февраля 2014
  • Создать сайт для предприятия малого бизнеса не сложно. Трудности начнутся, когда вы захотите привлечь на свой новый сайт трафик. Да и качество самого трафика нужно разделять, ведь...
    03 ноября 2013
  • Дано: Таблица объектов и таблица городов, имеющие связь MANY_MANY; Yii Framework v.1.1.14; Задача: организовать редактирование связей и поиск объектов по массиву id городов, используя стандартные средства фреймворка.
    30 сентября 2013