Панель управления масштабированием и вебокружение Битрикс

Рейтинг: 3.8902  
На голосовании
Предложил Пользователь 108671 12.11.2018 12:27:55

Панель управления масштабированием и вебокружение Битрикс

Как порушить вебокружение Битрикс интегратора и сайты на нем?
Просто, получаешь доступ админский к одному сайту на вебокружении - и ты царь горы.
Дальше открываешь Панель управления масштабированием и начинается УРАГАН!
Там будут под вашим управлением все сайты на вебокружении. Хочешь удаляй чужие сайты, хочешь добавь себе еще один, интегратор может и не заметит.

А самое интересно в другом - этот лайфхак для хакера предложила выложить сама поддержка битрикса.
Типа давайте эту идею обсудим.
А по-моему, здесь нечего обсуждать - это вопрос безопасности сайтов на битрикс.
Эту дырку не надо обсуждать, ее надо моментально закрывать.

Выход.
Для интеграторов - не давайте админского доступа своим клиентам, или переносите их с вебокружения на обычный хостинг. Еще вариант: один клиент - одно вебокружение.

Рейтинг: 0  
Пользователь 21984 13.11.2018 11:52:36
Странное у вас понимание безопасности и виртуальной машины. Значит вы дали полный админский доступ и посчитали, что проблемы можно создать только зайдя в Масштабирование.

Имея админский доступ я и без этого раздела, могу с вашей системой сделать все, что захочу. И не совсем понятно в чем проблема, как можно дать админские права и не ожидать, что будет полный доступ.  
Рейтинг: 3  
Пользователь 108671 13.11.2018 12:52:31
Странное у вас понимание безопасности у вас, Юрий Волошин. Зачастую заказчики просят полный доступ к сайту.
Получается виртуальная машина не обеспечивает защищенность других сайтов, находящихся на ней?
И как дать админовские права на сайт, а не на другие сайты на вебокружении?