Рейтинг: 19.1827  
Внедрено
Предложил ThinkUP 15.06.2016 13:26:39

Исправить уязвимость в безопасности единого профиля Битрикс24.Нетворк

В функционале авторизации через единый профиль есть такая проблема: если я авторизовался на каком-то сайте с помощью своего нетворка, то в админке этого сайта, в выпадающем меню рядом с кнопкой профиля на панели управления я могу видеть список всех сайтов, на которых я авторизовался с помощью нетворка и могу переключаться между ними, это удобно.

Но есть проблема - помимо меня список моих сайтов может увидеть локальный администратор данного сайта, авторизовавшись подо мной. Таким образом - любой пользоваль, который имеет права для авторизации под другими пользователями сайта - может видеть список всех проектов, на которых пользователь авторизован с помощью нетворка... Это НЕОБХОДИМО исправить.

Обсуждение на форуме - http://dev.1c-bitrix.ru/community/forums/forum7/topic84949/
Рейтинг: -0.1737  
Ответил Maks Sidorenko 16.06.2016 12:11:23
Доступ к списку сайтов - это отдельный scope OAuth-сервера, и когда пользователь авторизуется в админке, у него отдельно запрашивается доступ к этому scope, и он дает на это вполне осознанное согласие. Так это работало с самого начала, и так это работает сейчас.

Причем, вполне можно авторизовываться как в админке, так и в публичке, не давая сайту этого права доступа.

Рейтинг: 11.8064  
На голосовании
Предложил Зайцев Артемий 28.12.2015 12:20:55

Отключить блокировку фреймов для Яндекс-метрики в BitrixEnv и БУС

В /etc/nginx/nginx.conf есть

add_header X-Frame-Options SAMEORIGIN;

Из-за SAMEORIGIN не работает просмотр сайта через новую Яндекс-метрику во фрейме. Нельзя посмотреть карту ссылок и прочее.

Яндекс рекомендует:
if ($http_referer !~ "^https?://([^/]+metrika.*yandex\.(ru|ua|com|com\.tr|by|kz)|([^/]+\.)?webvisor\.com)/"){
  add_header X-Frame-Options SAMEORIGIN;
}

Отключите add_header X-Frame-Options SAMEORIGIN в ngixn для метрики и добавьте подобную опцию в "Битрикс управление сайтом".
Рейтинг: -1.3335  
Ответил Красичков Андрей 28.12.2015 16:51:11
Это частный кейс, который, требует частного решения - правки конфигов под нужды проекта. Конфигурация виртуальной машины слишком общая, дабы делать какие-то хаки для конкретных third-party ресурсов. Тем более, что проверка referer'а в целом сомнительное решение.

Быть может лучшим решением было бы посмотреть в сторону CSP (Content Security Policy). Таким образом:
1. Оставляем "X-Frame-Options: SAMEORIGIN" в покое
2. Настраиваем CSP с учетом необходимостей вашего проекта. В том числе и frame-ancestors (Chrome 40+, FF 33+)


И как бонус, повысите безопасность проекта в целом. Разумеется, при условии адекватной настройки CSP
Рейтинг: 0.4254  
На голосовании
Предложил Каширин Дмитрий 23.07.2015 18:00:13

Отключение лишнего, права, drag&drop, безопасность

Здравствуйте!
Беда всех больших систем, в том числе и битрикса - перегруженность интерфейса.
Как правило в большинстве компании более менее средних есть свой человек/отдел, который настраивает весь софт для сотрудников, далеких от дел компьютерных.

Пожалуйста сделайте в одном из следующих обновлений разграничение прав не только для CRM и диска, но для всей системы целиком.
К примеру в нашем отделе закупа просто не нужны в CRM здоровенные кнопки "Воронка продаж", "Отчеты", "Счета", "Предложения"
Зато очень нужны "Товары", которые не помещаются на экран. (В мегаплане с которого мы переходим к вам, можно хотя бы двигать эти здоровые значки).
Тоже относится к сайдбару. Им не нужен раздел телефонии, приложений, компании, настройки.
Более того, не нужны даже фотографии с календарем.
Конечно часть из перечисленного можно скрыть или свернуть, но это полумера, таких мест много, которые никогда людям в отделе не понадобятся.
Более того, воронка продаж не нужна даже менеджерам, они очень заняты проработкой заявок, и о своей эффективности они узнают от директора, если с ней есть проблемы.

С учетом того, что большинство людей далеко не IT-шники, их такое обилие кнопок и надписей пугает, даже возможность перейти в них и потеряться.

И отдельно, очень хотелось бы получить возможность разграничения прав по полям в сделках/лидах и т.п.
К примеру наш отдел закупа отмечает в сделке Поставщика, и менеджеры никак не должны видеть его, иначе возможен сценарий, когда менеджер узнав всех поставщиков отправляется в собственное плаванье, т.е. утечка информации.
В тоже время, закупщики не должны видеть, кто клиент.
Конечно, эти поля можно скрыть, но их также может сделать видимыми любой.
Так вот хотелось бы получить блокировку полей на уровне прав, чтобы исключить такие утечки.

Отдельно, до сих пор нельзя перетаскивать собственные, настраиваемые поля в голубой блок сделки/лида и других сущностей.
Теперь, чтобы отделу закупок, увидеть ответственного Закупщика (не стандартное поле), нужно открывать вручную подробную информацию о сделке и конечно включить редактирование.
Невозможность в лидах поместить в голубую зону телефон клиента - тоже смущает.

В целом, битрикс24 - шикарная система, пожалуйста сделайте её еще более универсальной такими вот решениями.
Спасибо.
Рейтинг: 3.6878  
На голосовании
Предложил Хоруженко Виктор 29.06.2015 11:31:31

Логирование действий пользователей

Хочется иметь для администратора возможность видеть логи действий пользователей в Битрикс24.
Это важно иметь для статистики, администрирования и безопасности.
Рейтинг: 1.7862  
На голосовании
Предложил Свистунова Александра 17.06.2015 12:29:09

Добавить описание рядом с IP адресом в модуле "Проактивная защита" -> "Защита административной части"

Добавить описание рядом с IP адресом в модуле "Проактивная защита" -> "Защита административной части".

Сейчас есть куча IP адресов и не понятно к какому сотруднику или для каких целей используется тот или иной адрес и кому он выдан.

Предлагаю просто добавить текстовое поле, в котором можно добавить описание для IP адреса.

Рейтинг: 2.3282  
На голосовании
Предложил Эскеров Ислам 08.05.2015 23:33:54

Возможность отключать десктопное и мобильное приложение

Из соображений безопасности и сохранности информации предлагаю добавить функционал :Отключить возможность заходить на КП с помощью десктопного и/или мобильного приложения. С Возможностью делать исключения для конкретных групп или  пользователей.
Это очень важно т.к у нас были преценденты неосторожного обращения. Пользователи под навязчивое предложение портала ставят Битрикс десктоп. До конца не понимая как это работает. Потом  приложение синхронизирует кучу фалов на локальный компьютер(что тоже не правильно). Пользователи ничего не понимающие их начинают удалять. Соответственно это синхронизируется с порталом. И половины важных файлов группы на портале как не бывало....  Все в панике. Админу влетает...

Т.е контролировать и пресекать эту проблему практически невозможно...
Рейтинг: 1.4048  
На голосовании
Предложил Куклин Евгений 24.04.2015 00:46:21

Усиление защиты файлов в пакете BitrixVM + КП/БУС

Почему бы не сделать в пакете простую настройку защиты от скачивания файлов в upload без авторизации (учитывая малоструктурированный общий бардак там, про более детальную настройку не говорю)?
Для простых клиентов реализация такого момента сложна и не очевидна. Да и не только для них, возможно. А вот дополнительной безопасности многие хотят и бывают в шоке от осознания того, что веб-сервер отдаёт любой файл при наличии прямой ссылки кому угодно.

Да, будет лишний хит на бекенде на каждый файл, но кто-то вполне готов мириться с лишним хитом ради усиления безопасности.
Рейтинг: 2.432  
На голосовании
Предложил Голубев Владислав 15.04.2015 11:14:00

Инспектор сайтов - добавить проверки безопастности

  • проверка воровства трафика в следствие мобильного или поискового редиректа
  • проверка на блокировку сайта в следствие заражения в Google и Яндекс;
  • проверка на блокировку сайта антивирусами;
  • проверка узявимостей SSL
Рейтинг: 1.7976  
На голосовании
Предложил Kudashev Mikhail 19.02.2015 18:27:02

Управление пользователями и просмотр чужих задач

Предлагаю сделать специальный набор прав, с которыми пользователь сможет рассылать приглашения новым сотрудникам, управлять структурой компании и увольнять сотрудников и при этом НЕ ИМЕТЬ ДОСТУПА к задачам сотрудников не своего подразделения.

У нас в компании вопрос поднялся сразу после перехода на Битрикс24 с Мегаплана, где предусмотрены роли Администратора и Директора.

Возможность просмотра задач топ-менеджмента  администратором портала Битрикс24 принята в штыки.
Рейтинг: 20.1767  
Новая
Предложил Куклин Евгений 02.10.2014 22:37:40

Сохранять дату изменения пароля

Напомнила идея Антона: давно уже просил (то ли на форуме, то ли в блогах) сделать сохранение даты смены пароля штатно, сказали, отличная идея, надо сделать и на этом всё закончилось.
Очень полезно при реализации политики безопасности по периодической смене пароля. Останется только повешать соответствующего агента. Ну и период смены пароля желательно бы тоже иметь штатно в политиках групп.