Идеи для: Безопасность

Рейтинг: 2  
Новая
Предложил Раиль Агзамов 12.11.2018 12:27:55

Панель управления масштабированием и вебокружение Битрикс

Как порушить вебокружение Битрикс интегратора и сайты на нем?
Просто, получаешь доступ админский к одному сайту на вебокружении - и ты царь горы.
Дальше открываешь Панель управления масштабированием и начинается УРАГАН!
Там будут под вашим управлением все сайты на вебокружении. Хочешь удаляй чужие сайты, хочешь добавь себе еще один, интегратор может и не заметит.

А самое интересно в другом - этот лайфхак для хакера предложила выложить сама поддержка битрикса.
Типа давайте эту идею обсудим.
А по-моему, здесь нечего обсуждать - это вопрос безопасности сайтов на битрикс.
Эту дырку не надо обсуждать, ее надо моментально закрывать.

Выход.
Для интеграторов - не давайте админского доступа своим клиентам, или переносите их с вебокружения на обычный хостинг. Еще вариант: один клиент - одно вебокружение.
Рейтинг: 1.8902  
На голосовании
Предложил Светлана Щербакова 03.08.2018 14:47:50

Запрет на удаление истории в лидах, сделках и других сущностях

В нашей компании работает много удаленщиков, которые не всегда верно пользуются системой. Для того, чтобы понять, что они сделали неправильно, я смотрю историю лида (сделки, контакта, компании). Но пользователи могут ее удалять - была бы полезна функция запрета на удаление истории лидов.  
Рейтинг: 32.0118  
На голосовании
Предложил Чернышов Антон 14.06.2018 17:57:21

Добавить дату обновления значения в b_options

Иногда нужно определить, когда была изменена настройка модуля продукта и кем.


Добавить в таблицу b_options хранение даты изменения строки настроек и идентификатор пользователя ее изменившего.
Рейтинг: 3  
На голосовании
Предложил AndreyChursin 02.02.2018 11:23:55

403 зашита в ядро продукта

если у пользователя как-либо беда с каналом связи и антивирь битрикс (Проактивная защита) заблокировал его - он получает беспощадно убогую страницу об ошибке 403, где нет ни слова информации что это и почему (добавляется негатив о компании)

Предлагаю 403 ошибку оставить на управление серверу который может выдавать кастомизированные страницы об ошибках..
Рейтинг: 2.8902  
На голосовании
Предложил Денисов Игорь 23.01.2018 12:13:31

Установка файлов cookie для домена третьего уровня

В настоящее время Битрикс для сайтов, которые работают на домене третьего уровня (например, idea.1c-bitrix.ru), устанавливает cookie для родительского домена (.1c-bitrix.ru).

При проведении теста на уязвимости данное поведение интерпретируется как проблема:
Cookies assigned by the application were scoped incorrectly, being assigned to the parent domain. When visited, any application within the parent domain for the application would automatically be sent the cookies. As such session ID's for the application may be transmitted to other, potentially malicious applications.
Просьба рассмотреть возможность доработки, чтобы Битрикс устанавливал cookie для корректного домена.  
Рейтинг: 0  
На голосовании
Предложил Никонов Дмитрий 15.01.2018 22:40:02

Полноценный компонент двухэтапной авторизации

В битриксе есть компонент подключения двухэтапной авторизации. Но он ни как не проверяет подключена у пользователя такая авторизация или нет.
Прошу доработать данный компонент, чтобы он проверял подключена двухэтапная авторизация или нет. Соответственно, если не подключена - то выдавал шаблон для подключения (который есть сейчас), и если подключена, то шаблон для отключения с запросом одноразового пароля.
Рейтинг: -1  
На голосовании
Предложил Лескин Борис 25.12.2017 05:24:39

Шифрование данных

Есть такое приложение https://www.boxcryptor.com/ru/for-individuals/
Было бы очень круто, еслиб можно было шифровать некоторые папки на битрикс диск.
просто в настройках Битрикс24.Диск выделяешь папки которые шифровать!
думаю с учетом того что многие боятся хранить данные в облаке, то это было бы очень правильно!
Типа групповое шифрование или шифрование личных файлов. хотяб пинкодом каким (легкое шифрование, чтоб ресурсы сильно не использовал комп) ну или по выбору как шифровать.
Рейтинг: 2  
Новая
Предложил К Алексей 02.11.2017 14:04:44

Если поддержке не давать доступ Администраторов, то им невозможно предоставить доступ к разделу Marketplace

Они не могут посмотреть ситуацию по обновлениям модулей и т.п. Я не готов давать полноценного Админа при каждом таком случае.
Добавьте в уровни доступа такую мелочь, пожалуйста.
Рейтинг: -1.5648  
На голосовании
Предложил Морозкин Сергей 15.09.2017 14:12:32

Просмотр всех чатов компании для Админа

Хотелось бы иметь возможность для Администратора просматривать все чаты, которые происходят в компании
Рейтинг: 1.2631  
На голосовании
Предложил Артём Шевцов 08.09.2017 10:45:58

Проверка существования электронного почтового ящика перед отправкой уведомления.

За сутки зарегистрировалось 800+ новых пользователей
Регистрировались боты  через  /bitrix/admin/  - аторизация в битрикс 24 с несуществующих ящиков и затем положили наш почтовый сервер.
Хостер дал рекомендацию:
В случае, если данные электронные письма являются запросами подтверждения регистрации, можем рекомендовать Вам обратиться к разработчику Вашего проекта для настройки предварительной проверки существования электронного почтового ящика перед отправкой уведомления.
Если будет решение из коробки, будет здорово.