Идеи пользователя

Рейтинг: 1.8902  
Новая
Предложил Пользователь 3730383 16.03.2023 16:15:12

Добавить события для модуля проактивной защиты

Внезапно обнаружили, что модуль Проактивная защита не имеет собственных событий, соответственно, на них нельзя подписаться.
Есть конечно класс \CSecurityEvent, но он только отвечает за сохранение логов.

Т.е. на данный момент, если проактивная защита обнаружила угрозу, автоматически отреагировать на неё нет возможности (разослать email'ы, закрыть регистрацию, etc).

Поэтому желательно их добавить или пояснить почему не возможно.
Рейтинг: 1.8902  
Новая
Предложил Пользователь 14349 12.12.2022 18:09:38

Добавить в настройки Веб-антивируса поле для указания email адресов для уведомлений об обнаружении

Сейчас адресат берется из поля "администратор сайта" в настройках главного модуля (отправитель по умолчанию).
В этом поле можно задать только один email. А, бывает, нужно указать несколько адресов и это могут быть адреса, не совпадающие с email администратора.
Рейтинг: 0.8902  
Новая
Предложил Пользователь 257346 11.05.2022 07:09:23

Комментарии к заблокированным диапазонам в стоп листе

Здравствуйте.
Столкнулся с тем, что крайне не хватает комментариев к элементам таблицы заблокированных диапазонов.
Есть период, есть маска, есть диапазон, название (куда пишу название владельца диапазона), а вот за что данный диапазон попал в блок и был заблокирован, этого нет.
Как оценить опасность и принять решение о прекращении блокировки спустя время?
Напрашивается поле комментарий. Реализуется вроде просто, так же как и название, а лишним не будет.  
Рейтинг: 0.8902  
Новая
Предложил Пользователь 1569409 28.12.2020 15:12:40

Сделайте возможным удаленный доступ к компьютерам с установленным приложением битрикс 24 для администраторов

Было бы очень удобно интегрировать возможности удаленного доступа к компьютерам сотрудников для администраторов Битрикс 24, это упростило бы решение многих проблем при настройке рабочих мест и не требовало бы использование сторонних программ, передающих данные неизвестно по каким каналам.  
Рейтинг: 8.6706  
Новая
Предложил Пользователь 8981 12.03.2020 04:53:58

Прекращение авторизации на разных доменах при хранении сессий в БД

Идея предложена после отказа поддержки считать ситуацию багом.
Если включено хранение сессий пользователей в БД, а не в файлах, то корректно работает распространение авторизации на разных доменах и поддоменах. При этом прекращение авторизации работает только в рамках домена.
На примере. Есть сайт, который работает на 2 доменах - site1.ru и site2.ru. При этом для регионов используются поддомены, т.е. в итоге есть множество версий сайта - gorod1.site1.ru, gorod2.site1.ru, gorod3.site2.ru и т.д. Прекращение авторизации распространяется лишь на поддомены того домена, где выполнили разавторизацию. На втором домене и его поддоменах авторизация сохраняется.
Это очевидная потенциальная дыра в безопасности, но сейчас "так было заложено в логику работы продукта".
Нужно доработать механизм прекращения авторизации пользователя.
Рейтинг: 6.7804  
Новая
Предложил Пользователь 93386 11.03.2020 11:10:41

Изменить период проверки SSL в инспекторе сайта

Инспектор сайта начинает присылать уведомления за 30 дней. И так каждый божий день. Если на сайте установлен сертификат от Lets Encrypt, то перевыпустить сертификат можно не раньше чем за 20 дней до срока окончания текущего сертификата. В BitrixVM задача на обновление запускается 1 раз в неделю по субботам. Получается на сайтах под управлением BitrixVM обновление сертификата будет за 14-20 дней до окончания срока действия. Так вот и вопрос - зачем инспектор начинает слать уведомления за 30 дней? Это слишком. Предлагаю уведомления слать за 15 дней. Этого времени вполне достаточно, чтобы продлить если что вручную или купить новый сертификат.  
Рейтинг: 1.8902  
Новая
Предложил Пользователь 1830647 11.06.2019 14:50:58

Верификация кода приложений Битрикс24

Предлагаю для увеличения доверия к приложениям Битрикс24 и системе в целом договориться с антивирусными вендорами и разработать механизмы для автоматической проверки кода приложения на безопасность и утечки данных и вывести ранжирование и рекомендации, интересует:
1) отправляются ли данные на сторонние сервисы и сайты;
2) доступ на изменение или только чтение данных по подсистемам (CRM, Товары, Сообщения и т.д.);
3) надёжность и уровень партнёра, разработавшего приложение для быстрой оценки безопасниками;

и т.д.
Рейтинг: 2  
На голосовании
Предложил Пользователь 274166 12.12.2018 12:22:24

ограничения регистрации по домену/ip

Нужен стандартный функционал по ограничению регистрации, например по домену или ip
Участились случаи регистрации пользователей с домена @mfsa.info стандартная капча bitrix на регистрации не помогает защитить от ботов..
Рейтинг: 4.7804  
На голосовании
Предложил Пользователь 108671 12.11.2018 12:27:55

Панель управления масштабированием и вебокружение Битрикс

Как порушить вебокружение Битрикс интегратора и сайты на нем?
Просто, получаешь доступ админский к одному сайту на вебокружении - и ты царь горы.
Дальше открываешь Панель управления масштабированием и начинается УРАГАН!
Там будут под вашим управлением все сайты на вебокружении. Хочешь удаляй чужие сайты, хочешь добавь себе еще один, интегратор может и не заметит.

А самое интересно в другом - этот лайфхак для хакера предложила выложить сама поддержка битрикса.
Типа давайте эту идею обсудим.
А по-моему, здесь нечего обсуждать - это вопрос безопасности сайтов на битрикс.
Эту дырку не надо обсуждать, ее надо моментально закрывать.

Выход.
Для интеграторов - не давайте админского доступа своим клиентам, или переносите их с вебокружения на обычный хостинг. Еще вариант: один клиент - одно вебокружение.
Рейтинг: 9.1216  
На голосовании
Предложил Пользователь 2359749 03.08.2018 14:47:50

Запрет на удаление истории в лидах, сделках и других сущностях

В нашей компании работает много удаленщиков, которые не всегда верно пользуются системой. Для того, чтобы понять, что они сделали неправильно, я смотрю историю лида (сделки, контакта, компании). Но пользователи могут ее удалять - была бы полезна функция запрета на удаление истории лидов.  
Рейтинг: 32.902  
На голосовании
Предложил Пользователь 11898 14.06.2018 17:57:21

Добавить дату обновления значения в b_options

Иногда нужно определить, когда была изменена настройка модуля продукта и кем.


Добавить в таблицу b_options хранение даты изменения строки настроек и идентификатор пользователя ее изменившего.
Рейтинг: 3.8902  
На голосовании
Предложил Пользователь 274166 02.02.2018 11:23:55

403 зашита в ядро продукта

если у пользователя как-либо беда с каналом связи и антивирь битрикс (Проактивная защита) заблокировал его - он получает беспощадно убогую страницу об ошибке 403, где нет ни слова информации что это и почему (добавляется негатив о компании)

Предлагаю 403 ошибку оставить на управление серверу который может выдавать кастомизированные страницы об ошибках..
Рейтинг: 4.7804  
На голосовании
Предложил Пользователь 78846 23.01.2018 12:13:31

Установка файлов cookie для домена третьего уровня

В настоящее время Битрикс для сайтов, которые работают на домене третьего уровня (например, idea.1c-bitrix.ru), устанавливает cookie для родительского домена (.1c-bitrix.ru).

При проведении теста на уязвимости данное поведение интерпретируется как проблема:
Cookies assigned by the application were scoped incorrectly, being assigned to the parent domain. When visited, any application within the parent domain for the application would automatically be sent the cookies. As such session ID's for the application may be transmitted to other, potentially malicious applications.
Просьба рассмотреть возможность доработки, чтобы Битрикс устанавливал cookie для корректного домена.  
Рейтинг: 1.7804  
На голосовании
Предложил Пользователь 240126 15.01.2018 22:40:02

Полноценный компонент двухэтапной авторизации

В битриксе есть компонент подключения двухэтапной авторизации. Но он ни как не проверяет подключена у пользователя такая авторизация или нет.
Прошу доработать данный компонент, чтобы он проверял подключена двухэтапная авторизация или нет. Соответственно, если не подключена - то выдавал шаблон для подключения (который есть сейчас), и если подключена, то шаблон для отключения с запросом одноразового пароля.
Рейтинг: -1  
На голосовании
Предложил Пользователь 1303809 25.12.2017 05:24:39

Шифрование данных

Есть такое приложение https://www.boxcryptor.com/ru/for-individuals/
Было бы очень круто, еслиб можно было шифровать некоторые папки на битрикс диск.
просто в настройках Битрикс24.Диск выделяешь папки которые шифровать!
думаю с учетом того что многие боятся хранить данные в облаке, то это было бы очень правильно!
Типа групповое шифрование или шифрование личных файлов. хотяб пинкодом каким (легкое шифрование, чтоб ресурсы сильно не использовал комп) ну или по выбору как шифровать.
Рейтинг: 4.6706  
Новая
Предложил Пользователь 943985 02.11.2017 14:04:44

Если поддержке не давать доступ Администраторов, то им невозможно предоставить доступ к разделу Marketplace

Они не могут посмотреть ситуацию по обновлениям модулей и т.п. Я не готов давать полноценного Админа при каждом таком случае.
Добавьте в уровни доступа такую мелочь, пожалуйста.
Рейтинг: -2.455  
На голосовании
Предложил Пользователь 1413359 15.09.2017 14:12:32

Просмотр всех чатов компании для Админа

Хотелось бы иметь возможность для Администратора просматривать все чаты, которые происходят в компании
Рейтинг: 2.1533  
На голосовании
Предложил Пользователь 50292 08.09.2017 10:45:58

Проверка существования электронного почтового ящика перед отправкой уведомления.

За сутки зарегистрировалось 800+ новых пользователей
Регистрировались боты  через  /bitrix/admin/  - аторизация в битрикс 24 с несуществующих ящиков и затем положили наш почтовый сервер.
Хостер дал рекомендацию:
В случае, если данные электронные письма являются запросами подтверждения регистрации, можем рекомендовать Вам обратиться к разработчику Вашего проекта для настройки предварительной проверки существования электронного почтового ящика перед отправкой уведомления.
Если будет решение из коробки, будет здорово.