В функционале авторизации через единый профиль есть такая проблема: если я авторизовался на каком-то сайте с помощью своего нетворка, то в админке этого сайта, в выпадающем меню рядом с кнопкой профиля на панели управления я могу видеть список всех сайтов, на которых я авторизовался с помощью нетворка и могу переключаться между ними, это удобно.
Но есть проблема - помимо меня список моих сайтов может увидеть локальный администратор данного сайта, авторизовавшись подо мной. Таким образом - любой пользоваль, который имеет права для авторизации под другими пользователями сайта - может видеть список всех проектов, на которых пользователь авторизован с помощью нетворка... Это НЕОБХОДИМО исправить.
Обсуждение на форуме -
Но есть проблема - помимо меня список моих сайтов может увидеть локальный администратор данного сайта, авторизовавшись подо мной. Таким образом - любой пользоваль, который имеет права для авторизации под другими пользователями сайта - может видеть список всех проектов, на которых пользователь авторизован с помощью нетворка... Это НЕОБХОДИМО исправить.
Обсуждение на форуме -
В /etc/nginx/nginx.conf есть
Из-за SAMEORIGIN не работает просмотр сайта через новую Яндекс-метрику во фрейме. Нельзя посмотреть карту ссылок и прочее.
Яндекс :
Отключите add_header X-Frame-Options SAMEORIGIN в ngixn для метрики и добавьте подобную опцию в "Битрикс управление сайтом".
add_header X-Frame-Options SAMEORIGIN; |
Из-за SAMEORIGIN не работает просмотр сайта через новую Яндекс-метрику во фрейме. Нельзя посмотреть карту ссылок и прочее.
Яндекс :
if ($http_referer !~ "^https?://([^/]+metrika.*yandex\.(ru|ua|com|com\.tr|by|kz)|([^/]+\.)?webvisor\.com)/"){
add_header X-Frame-Options SAMEORIGIN;
} |
Отключите add_header X-Frame-Options SAMEORIGIN в ngixn для метрики и добавьте подобную опцию в "Битрикс управление сайтом".
Ответил 
Красичков Андрей 28.12.2015 16:51:11
Красичков Андрей 28.12.2015 16:51:11
Это частный кейс, который, требует частного решения - правки конфигов под нужды проекта. Конфигурация виртуальной машины слишком общая, дабы делать какие-то хаки для конкретных third-party ресурсов. Тем более, что проверка referer'а в целом сомнительное решение.
Быть может лучшим решением было бы посмотреть в сторону CSP (Content Security Policy). Таким образом:
1. Оставляем "X-Frame-Options: SAMEORIGIN" в покое
2. Настраиваем CSP с учетом необходимостей вашего проекта. В том числе и (Chrome 40+, FF 33+)
И как бонус, повысите безопасность проекта в целом. Разумеется, при условии адекватной настройки CSP
Быть может лучшим решением было бы посмотреть в сторону CSP (Content Security Policy). Таким образом:
1. Оставляем "X-Frame-Options: SAMEORIGIN" в покое
2. Настраиваем CSP с учетом необходимостей вашего проекта. В том числе и (Chrome 40+, FF 33+)
И как бонус, повысите безопасность проекта в целом. Разумеется, при условии адекватной настройки CSP
Здравствуйте!
Беда всех больших систем, в том числе и битрикса - перегруженность интерфейса.
Как правило в большинстве компании более менее средних есть свой человек/отдел, который настраивает весь софт для сотрудников, далеких от дел компьютерных.
Пожалуйста сделайте в одном из следующих обновлений разграничение прав не только для CRM и диска, но для всей системы целиком.
К примеру в нашем отделе закупа просто не нужны в CRM здоровенные кнопки "Воронка продаж", "Отчеты", "Счета", "Предложения"
Зато очень нужны "Товары", которые не помещаются на экран. (В мегаплане с которого мы переходим к вам, можно хотя бы двигать эти здоровые значки).
Тоже относится к сайдбару. Им не нужен раздел телефонии, приложений, компании, настройки.
Более того, не нужны даже фотографии с календарем.
Конечно часть из перечисленного можно скрыть или свернуть, но это полумера, таких мест много, которые никогда людям в отделе не понадобятся.
Более того, воронка продаж не нужна даже менеджерам, они очень заняты проработкой заявок, и о своей эффективности они узнают от директора, если с ней есть проблемы.
С учетом того, что большинство людей далеко не IT-шники, их такое обилие кнопок и надписей пугает, даже возможность перейти в них и потеряться.
И отдельно, очень хотелось бы получить возможность разграничения прав по полям в сделках/лидах и т.п.
К примеру наш отдел закупа отмечает в сделке Поставщика, и менеджеры никак не должны видеть его, иначе возможен сценарий, когда менеджер узнав всех поставщиков отправляется в собственное плаванье, т.е. утечка информации.
В тоже время, закупщики не должны видеть, кто клиент.
Конечно, эти поля можно скрыть, но их также может сделать видимыми любой.
Так вот хотелось бы получить блокировку полей на уровне прав, чтобы исключить такие утечки.
Отдельно, до сих пор нельзя перетаскивать собственные, настраиваемые поля в голубой блок сделки/лида и других сущностей.
Теперь, чтобы отделу закупок, увидеть ответственного Закупщика (не стандартное поле), нужно открывать вручную подробную информацию о сделке и конечно включить редактирование.
Невозможность в лидах поместить в голубую зону телефон клиента - тоже смущает.
В целом, битрикс24 - шикарная система, пожалуйста сделайте её еще более универсальной такими вот решениями.
Спасибо.
Беда всех больших систем, в том числе и битрикса - перегруженность интерфейса.
Как правило в большинстве компании более менее средних есть свой человек/отдел, который настраивает весь софт для сотрудников, далеких от дел компьютерных.
Пожалуйста сделайте в одном из следующих обновлений разграничение прав не только для CRM и диска, но для всей системы целиком.
К примеру в нашем отделе закупа просто не нужны в CRM здоровенные кнопки "Воронка продаж", "Отчеты", "Счета", "Предложения"
Зато очень нужны "Товары", которые не помещаются на экран. (В мегаплане с которого мы переходим к вам, можно хотя бы двигать эти здоровые значки).
Тоже относится к сайдбару. Им не нужен раздел телефонии, приложений, компании, настройки.
Более того, не нужны даже фотографии с календарем.
Конечно часть из перечисленного можно скрыть или свернуть, но это полумера, таких мест много, которые никогда людям в отделе не понадобятся.
Более того, воронка продаж не нужна даже менеджерам, они очень заняты проработкой заявок, и о своей эффективности они узнают от директора, если с ней есть проблемы.
С учетом того, что большинство людей далеко не IT-шники, их такое обилие кнопок и надписей пугает, даже возможность перейти в них и потеряться.
И отдельно, очень хотелось бы получить возможность разграничения прав по полям в сделках/лидах и т.п.
К примеру наш отдел закупа отмечает в сделке Поставщика, и менеджеры никак не должны видеть его, иначе возможен сценарий, когда менеджер узнав всех поставщиков отправляется в собственное плаванье, т.е. утечка информации.
В тоже время, закупщики не должны видеть, кто клиент.
Конечно, эти поля можно скрыть, но их также может сделать видимыми любой.
Так вот хотелось бы получить блокировку полей на уровне прав, чтобы исключить такие утечки.
Отдельно, до сих пор нельзя перетаскивать собственные, настраиваемые поля в голубой блок сделки/лида и других сущностей.
Теперь, чтобы отделу закупок, увидеть ответственного Закупщика (не стандартное поле), нужно открывать вручную подробную информацию о сделке и конечно включить редактирование.
Невозможность в лидах поместить в голубую зону телефон клиента - тоже смущает.
В целом, битрикс24 - шикарная система, пожалуйста сделайте её еще более универсальной такими вот решениями.
Спасибо.
Хочется иметь для администратора возможность видеть логи действий пользователей в Битрикс24.
Это важно иметь для статистики, администрирования и безопасности.
Это важно иметь для статистики, администрирования и безопасности.
Добавить описание рядом с IP адресом в модуле "Проактивная защита" -> "Защита административной части".
Сейчас есть куча IP адресов и не понятно к какому сотруднику или для каких целей используется тот или иной адрес и кому он выдан.
Предлагаю просто добавить текстовое поле, в котором можно добавить описание для IP адреса.
Сейчас есть куча IP адресов и не понятно к какому сотруднику или для каких целей используется тот или иной адрес и кому он выдан.
Предлагаю просто добавить текстовое поле, в котором можно добавить описание для IP адреса.
Из соображений безопасности и сохранности информации предлагаю добавить функционал :Отключить возможность заходить на КП с помощью десктопного и/или мобильного приложения. С Возможностью делать исключения для конкретных групп или пользователей.
Это очень важно т.к у нас были преценденты неосторожного обращения. Пользователи под навязчивое предложение портала ставят Битрикс десктоп. До конца не понимая как это работает. Потом приложение синхронизирует кучу фалов на локальный компьютер(что тоже не правильно). Пользователи ничего не понимающие их начинают удалять. Соответственно это синхронизируется с порталом. И половины важных файлов группы на портале как не бывало.... Все в панике. Админу влетает...
Т.е контролировать и пресекать эту проблему практически невозможно...
Это очень важно т.к у нас были преценденты неосторожного обращения. Пользователи под навязчивое предложение портала ставят Битрикс десктоп. До конца не понимая как это работает. Потом приложение синхронизирует кучу фалов на локальный компьютер(что тоже не правильно). Пользователи ничего не понимающие их начинают удалять. Соответственно это синхронизируется с порталом. И половины важных файлов группы на портале как не бывало.... Все в панике. Админу влетает...
Т.е контролировать и пресекать эту проблему практически невозможно...
Почему бы не сделать в пакете простую настройку защиты от скачивания файлов в upload без авторизации (учитывая малоструктурированный общий бардак там, про более детальную настройку не говорю)?
Для простых клиентов реализация такого момента сложна и не очевидна. Да и не только для них, возможно. А вот дополнительной безопасности многие хотят и бывают в шоке от осознания того, что веб-сервер отдаёт любой файл при наличии прямой ссылки кому угодно.
Да, будет лишний хит на бекенде на каждый файл, но кто-то вполне готов мириться с лишним хитом ради усиления безопасности.
Для простых клиентов реализация такого момента сложна и не очевидна. Да и не только для них, возможно. А вот дополнительной безопасности многие хотят и бывают в шоке от осознания того, что веб-сервер отдаёт любой файл при наличии прямой ссылки кому угодно.
Да, будет лишний хит на бекенде на каждый файл, но кто-то вполне готов мириться с лишним хитом ради усиления безопасности.
- проверка воровства трафика в следствие мобильного или поискового редиректа
- проверка на блокировку сайта в следствие заражения в Google и Яндекс;
- проверка на блокировку сайта антивирусами;
- проверка узявимостей SSL
Предлагаю сделать специальный набор прав, с которыми пользователь сможет рассылать приглашения новым сотрудникам, управлять структурой компании и увольнять сотрудников и при этом НЕ ИМЕТЬ ДОСТУПА к задачам сотрудников не своего подразделения.
У нас в компании вопрос поднялся сразу после перехода на Битрикс24 с Мегаплана, где предусмотрены роли Администратора и Директора.
Возможность просмотра задач топ-менеджмента администратором портала Битрикс24 принята в штыки.
У нас в компании вопрос поднялся сразу после перехода на Битрикс24 с Мегаплана, где предусмотрены роли Администратора и Директора.
Возможность просмотра задач топ-менеджмента администратором портала Битрикс24 принята в штыки.
Напомнила Антона: давно уже просил (то ли на форуме, то ли в блогах) сделать сохранение даты смены пароля штатно, сказали, отличная идея, надо сделать и на этом всё закончилось.
Очень полезно при реализации политики безопасности по периодической смене пароля. Останется только повешать соответствующего агента. Ну и период смены пароля желательно бы тоже иметь штатно в политиках групп.
Очень полезно при реализации политики безопасности по периодической смене пароля. Останется только повешать соответствующего агента. Ну и период смены пароля желательно бы тоже иметь штатно в политиках групп.
© 2001-2022 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом.
Соглашение об использовании сайта
Соглашение об использовании сайта
Причем, вполне можно авторизовываться как в админке, так и в публичке, не давая сайту этого права доступа.