Рейтинг: 6.5819  
Новая
Предложил Мастрюков Дмитрий 15.01.2014 18:24:04

ограничение пользователей по ip

часто требуется ограничить определенных пользователей на вход, например, только из офиса
или наоборот, разрешить только некоторым пользователям вход с любых IP, а всем остальным - только
из офиса (со статическим IP)

хочется иметь возможность на ограничение на вход пользователя с определенного IP или по маске IP, например, 8.7.6.*
Рейтинг: 9.0232  
Новая
Предложил Andrew 15.11.2013 10:40:51

Блокировка доступа к КП

Бывают ситуации, когда надо БЫСТРО заблокировать всем пользователям доступ к порталу. Саппорт предлагает:

К сожалению, нет такой возможности заблокировать на время портал от сотрудников.
Единственное что вы можете сделать – уволить всех сотрудников и потом снова принять их на работу и при этом учесть, что через 50 дней портал будет автоматически деактивирован и удален, если на нем вообще не будет активности за этот период.
И если вы сотрудников повторно будете приглашать, то они должны будут создать новые Маил адреса, так как для системы они уже существуют и она будет выдавать ошибку: Пользователи с такими email уже существуют.
Но это очень не удобно, когда приходят люди, желающие незаконно изъять к информацию, бывает что время сидеть и увольнять всех пользователей просто нету...
Рейтинг: 2.7542  
На голосовании
Предложил Mindochin Vlad 28.01.2013 18:56:44

проверка при регистрации через stopforumspam

предлагаю добавить возможность при регистрации пользователей прогонять их данные через www.stopforumspam.com - масса негодяев и ботов отсеятся сразу
Рейтинг: 36.5675  
Внедрено
Предложил Кубагишев Сергей 20.11.2012 10:57:33

Резервное копирование по событию и расписанию

Резервные копии нужно автоматизировать

  • по событию: делать автоматом перед любым обновлением;
  • по расписанию: начинать делать в определенные часы и минуты,
при этом оставляя от трех до шести резервных копий и уже потом затирать старые, тоже автоматом, после чего сообщать администратору или модератору сайта (портала) о том, что он может скачать бекап по конкретной, представленной в письме ссылке.

Данное решение позволит не думать о бекапах хостера и вообще о бекапах самого сайта, всегда их иметь под рукой и понимать по каким именно причинам был сделан тот или иной бекап.
Рейтинг: 0.083  
Ответил Шаромов Денис 03.04.2013 16:07:51
Автоматические бэкапы делаем.
Автоматом перед обновлением - нет, это может быть очень длительная операция, к которой пользователь должен подходить осознанно.
Рейтинг: -6.2991  
На голосовании
Предложил Данилов Юрий 18.11.2012 00:21:52

Подмена путей и анонимность платформы

Все чаще и чаще сталкиваясь с проблемой узких мест в безопасности и определения движка
предлагаю рассмотреть и внедрить возможность подмены путей к js и css, к файлам шаблонов.


в коде сайта встречаются пути /bitrix/.... - идеально, чтобы нигде на сайте не было такого упоминания

также было бы совсем неплохо, замаскировать стандартный путь к админке и сделать это обязательным правилом настройки сайта! Даже если и существует запрет на ip адреса, но это реально выдает платформу, на которой сделан сайт.

Лучшая безопасность для сайта - полная анонимность его платформы, так сказать абсолютная!

И хоть идеальной анонимности добиться трудно, но хочется верить, что грамотное решение в этой сфере, уважаемые коллеги из Битрикса, вы сможете предложить.
Рейтинг: 2.0107  
Новая
Предложил Goff Mr. 21.09.2012 18:05:41

Контроль над аплоадом файлов пользователями

Здравствуйте!

Считаю, что необходимо ввести административные ограничения на аплоад файлов пользователем, как в группы, так и в личные спейсы пользователей.

Несанкционированная утечка информации - проблема, в общем-то, не новая. Очень часто работник со своего рабочего места имеет доступ к документам, которые не должны оказаться за пределами локальной сети. В некоторых отделах, например, отключены УСБ, заблокированы веб-мэйлеры и файл-шаринги, а исходящая почта соответствующим образом контролируется и протоколируется.

Битрикс24 даёт пользователю возможность, грубо говоря, НЕЗАМЕТНО стырить документы (с рабочего компа поднять, на домашнем сгрузить, и это никак и нигде не будет зафиксировано), предназначенные исключительно для внутреннего пользования.

Кроме того, всегда существует риск того, что, работник потеряет контроль над своим эккаунтом - тогда злоумышленник, им завладевший, получит доступ к рабочим документам пользователя, а они могут содержать и очень-очень закрытую информацию.

Поэтому и необходим административный контроль над аплоадом файлов пользователями : те, кому это по работе необходимо - пусть, тем кому нет необходимости - уж лучше запретить. В данный момент администратор может на раздел Файлы пользователя настроить права "только для чтения", но это обходится через кнопку "Добавить".

https://www.bitrix24.ru/support/forum/forum1/topic1065/

кроме того, пользователь может создать новую скрытую группу и неконтролируемо аплоадить файлы через неё:

https://www.bitrix24.ru/support/forum/forum1/topic1063/
Рейтинг: 71.1557  
На голосовании
Предложил Мазнев Сергей 23.12.2011 23:18:20

Запрет регистрации email'ов определенных доменов

Необходимо сделать возможность указывать в адм. разделе домены эл. почты с которых можно регистрироваться. (Желательно: белый список, черный список)
 Сейчас выглядит вот так:
Администратор установил - "Запрашивать подтверждение регистрации по E-mail"
Но посетитель Х, выполняя это требование, регистрируется с адресом эл. почты vasiliy@mailforspam.com, и без проблем проходит регистрацию. (Спасибо сервисам таким как mailforspam.com и т.п.). И потом куча проблем....... возможно :)
Рейтинг: 64.2302  
На голосовании
Предложил Мазнев Сергей 22.12.2011 23:11:24

Сделать проверку электронной почты при смене ее из ЛК

В настоящий момент из личного кабинета можно изменить свой адрес электронной почты на любой другой, даже если такой уже имеется в системе или такого ящика вообще не существует, причем настройка "Запрашивать подтверждение регистрации по E-mail" никакой роли не играет.
 1. Необходимо сделать проверку на совпадение, как это сделано при смене логина.
2. Необходимо отправлять подтверждение регистрации на новый ящик электронной почты. Причем сделать ограничение по количеству изменений электронной почты за определенное время.
 А то сейчас получается так:
Не нравится тебе человек Х. Регистрируемся, например, на сайте 1c-bitrix.ru, подписываемся на все сообщения форумов и кучу всяких рассылок, а потом меняешь свой емайл, на емайл человека Х. И его заваливает сообщениями.
 А если зарегистрировать много различных логинов, на всех подписаться, и на всех сменить адрес электронной почты на адрес человека Х, интересно, что будет?? ;)
И не на пользу пойдет и сайту, который отсылает кучу сообщений на адреса людей, которые не подписывались сами на эти рассылки. Которые будут активно жаловаться на "СПАМ".
Рейтинг: 105.9366  
На голосовании
Предложил Лобачев Виталий 04.12.2011 22:12:16

При регистрации сохранять IP с которого был зарегистрирован пользователь

Сделать доп поле в базе данных у пользователя, где хранить IP адрес с которого пользователь регистрировался.
Рейтинг: 0  
На голосовании
Предложил Савченков Дмитрий 27.10.2011 11:39:15

Страница для 403 ошибки

Столкнулись с такой проблемой:
если в браузере набрать путь до любой папки, к которой нет доступа, выдается статус 403 и стандартная страница forbidden... http://dev.1c-bitrix.ru/upload/

В редких случаях кто-то устанавливается свою страницу в дизайне сайта для 403 ошибки. К тому же на ней может выводится информация о сервере, что нарушает безопасность проектов.

Есть предложение, для повышения качества проектов, включить в стандартную поставку битрикса простейшую html страницу для 403 ошибки с текстом "403 ошибка. Страница не доступна."