Идеи пользователя
Внезапно обнаружили, что модуль Проактивная защита не имеет собственных событий, соответственно, на них нельзя подписаться.
Есть конечно класс \CSecurityEvent, но он только отвечает за сохранение логов.
Т.е. на данный момент, если проактивная защита обнаружила угрозу, автоматически отреагировать на неё нет возможности (разослать email'ы, закрыть регистрацию, etc).
Поэтому желательно их добавить или пояснить почему не возможно.
Есть конечно класс \CSecurityEvent, но он только отвечает за сохранение логов.
Т.е. на данный момент, если проактивная защита обнаружила угрозу, автоматически отреагировать на неё нет возможности (разослать email'ы, закрыть регистрацию, etc).
Поэтому желательно их добавить или пояснить почему не возможно.
Сейчас адресат берется из поля "администратор сайта" в настройках главного модуля (отправитель по умолчанию).
В этом поле можно задать только один email. А, бывает, нужно указать несколько адресов и это могут быть адреса, не совпадающие с email администратора.
В этом поле можно задать только один email. А, бывает, нужно указать несколько адресов и это могут быть адреса, не совпадающие с email администратора.
Здравствуйте.
Столкнулся с тем, что крайне не хватает комментариев к элементам таблицы заблокированных диапазонов.
Есть период, есть маска, есть диапазон, название (куда пишу название владельца диапазона), а вот за что данный диапазон попал в блок и был заблокирован, этого нет.
Как оценить опасность и принять решение о прекращении блокировки спустя время?
Напрашивается поле комментарий. Реализуется вроде просто, так же как и название, а лишним не будет.
Столкнулся с тем, что крайне не хватает комментариев к элементам таблицы заблокированных диапазонов.
Есть период, есть маска, есть диапазон, название (куда пишу название владельца диапазона), а вот за что данный диапазон попал в блок и был заблокирован, этого нет.
Как оценить опасность и принять решение о прекращении блокировки спустя время?
Напрашивается поле комментарий. Реализуется вроде просто, так же как и название, а лишним не будет.
Было бы очень удобно интегрировать возможности удаленного доступа к компьютерам сотрудников для администраторов Битрикс 24, это упростило бы решение многих проблем при настройке рабочих мест и не требовало бы использование сторонних программ, передающих данные неизвестно по каким каналам.
Идея предложена после отказа поддержки считать ситуацию багом.
Если включено хранение сессий пользователей в БД, а не в файлах, то корректно работает распространение авторизации на разных доменах и поддоменах. При этом прекращение авторизации работает только в рамках домена.
На примере. Есть сайт, который работает на 2 доменах - site1.ru и site2.ru. При этом для регионов используются поддомены, т.е. в итоге есть множество версий сайта - gorod1.site1.ru, gorod2.site1.ru, gorod3.site2.ru и т.д. Прекращение авторизации распространяется лишь на поддомены того домена, где выполнили разавторизацию. На втором домене и его поддоменах авторизация сохраняется.
Это очевидная потенциальная дыра в безопасности, но сейчас "так было заложено в логику работы продукта".
Нужно доработать механизм прекращения авторизации пользователя.
Если включено хранение сессий пользователей в БД, а не в файлах, то корректно работает распространение авторизации на разных доменах и поддоменах. При этом прекращение авторизации работает только в рамках домена.
На примере. Есть сайт, который работает на 2 доменах - site1.ru и site2.ru. При этом для регионов используются поддомены, т.е. в итоге есть множество версий сайта - gorod1.site1.ru, gorod2.site1.ru, gorod3.site2.ru и т.д. Прекращение авторизации распространяется лишь на поддомены того домена, где выполнили разавторизацию. На втором домене и его поддоменах авторизация сохраняется.
Это очевидная потенциальная дыра в безопасности, но сейчас "так было заложено в логику работы продукта".
Нужно доработать механизм прекращения авторизации пользователя.
Инспектор сайта начинает присылать уведомления за 30 дней. И так каждый божий день. Если на сайте установлен сертификат от Lets Encrypt, то перевыпустить сертификат можно не раньше чем за 20 дней до срока окончания текущего сертификата. В BitrixVM задача на обновление запускается 1 раз в неделю по субботам. Получается на сайтах под управлением BitrixVM обновление сертификата будет за 14-20 дней до окончания срока действия. Так вот и вопрос - зачем инспектор начинает слать уведомления за 30 дней? Это слишком. Предлагаю уведомления слать за 15 дней. Этого времени вполне достаточно, чтобы продлить если что вручную или купить новый сертификат.
Предлагаю для увеличения доверия к приложениям Битрикс24 и системе в целом договориться с антивирусными вендорами и разработать механизмы для автоматической проверки кода приложения на безопасность и утечки данных и вывести ранжирование и рекомендации, интересует:
1) отправляются ли данные на сторонние сервисы и сайты;
2) доступ на изменение или только чтение данных по подсистемам (CRM, Товары, Сообщения и т.д.);
3) надёжность и уровень партнёра, разработавшего приложение для быстрой оценки безопасниками;
и т.д.
1) отправляются ли данные на сторонние сервисы и сайты;
2) доступ на изменение или только чтение данных по подсистемам (CRM, Товары, Сообщения и т.д.);
3) надёжность и уровень партнёра, разработавшего приложение для быстрой оценки безопасниками;
и т.д.
Нужен стандартный функционал по ограничению регистрации, например по домену или ip
Участились случаи регистрации пользователей с домена стандартная капча bitrix на регистрации не помогает защитить от ботов..
Участились случаи регистрации пользователей с домена стандартная капча bitrix на регистрации не помогает защитить от ботов..
Как порушить вебокружение Битрикс интегратора и сайты на нем?
Просто, получаешь доступ админский к одному сайту на вебокружении - и ты царь горы.
Дальше открываешь Панель управления масштабированием и начинается УРАГАН!
Там будут под вашим управлением все сайты на вебокружении. Хочешь удаляй чужие сайты, хочешь добавь себе еще один, интегратор может и не заметит.
А самое интересно в другом - этот лайфхак для хакера предложила выложить сама поддержка битрикса.
Типа давайте эту идею обсудим.
А по-моему, здесь нечего обсуждать - это вопрос безопасности сайтов на битрикс.
Эту дырку не надо обсуждать, ее надо моментально закрывать.
Выход.
Для интеграторов - не давайте админского доступа своим клиентам, или переносите их с вебокружения на обычный хостинг. Еще вариант: один клиент - одно вебокружение.
Просто, получаешь доступ админский к одному сайту на вебокружении - и ты царь горы.
Дальше открываешь Панель управления масштабированием и начинается УРАГАН!
Там будут под вашим управлением все сайты на вебокружении. Хочешь удаляй чужие сайты, хочешь добавь себе еще один, интегратор может и не заметит.
А самое интересно в другом - этот лайфхак для хакера предложила выложить сама поддержка битрикса.
Типа давайте эту идею обсудим.
А по-моему, здесь нечего обсуждать - это вопрос безопасности сайтов на битрикс.
Эту дырку не надо обсуждать, ее надо моментально закрывать.
Выход.
Для интеграторов - не давайте админского доступа своим клиентам, или переносите их с вебокружения на обычный хостинг. Еще вариант: один клиент - одно вебокружение.
В нашей компании работает много удаленщиков, которые не всегда верно пользуются системой. Для того, чтобы понять, что они сделали неправильно, я смотрю историю лида (сделки, контакта, компании). Но пользователи могут ее удалять - была бы полезна функция запрета на удаление истории лидов.
Иногда нужно определить, когда была изменена настройка модуля продукта и кем.
Добавить в таблицу b_options хранение даты изменения строки настроек и идентификатор пользователя ее изменившего.
Добавить в таблицу b_options хранение даты изменения строки настроек и идентификатор пользователя ее изменившего.
если у пользователя как-либо беда с каналом связи и антивирь битрикс (Проактивная защита) заблокировал его - он получает беспощадно убогую страницу об ошибке 403, где нет ни слова информации что это и почему (добавляется негатив о компании)
Предлагаю 403 ошибку оставить на управление серверу который может выдавать кастомизированные страницы об ошибках..
Предлагаю 403 ошибку оставить на управление серверу который может выдавать кастомизированные страницы об ошибках..
В настоящее время Битрикс для сайтов, которые работают на домене третьего уровня (например, idea.1c-bitrix.ru), устанавливает cookie для родительского домена (.1c-bitrix.ru).
При проведении теста на уязвимости данное поведение интерпретируется как проблема:
Просьба рассмотреть возможность доработки, чтобы Битрикс устанавливал cookie для корректного домена.
При проведении теста на уязвимости данное поведение интерпретируется как проблема:
| Cookies assigned by the application were scoped incorrectly, being assigned to the parent domain. When visited, any application within the parent domain for the application would automatically be sent the cookies. As such session ID's for the application may be transmitted to other, potentially malicious applications. |
В битриксе есть компонент подключения двухэтапной авторизации. Но он ни как не проверяет подключена у пользователя такая авторизация или нет.
Прошу доработать данный компонент, чтобы он проверял подключена двухэтапная авторизация или нет. Соответственно, если не подключена - то выдавал шаблон для подключения (который есть сейчас), и если подключена, то шаблон для отключения с запросом одноразового пароля.
Прошу доработать данный компонент, чтобы он проверял подключена двухэтапная авторизация или нет. Соответственно, если не подключена - то выдавал шаблон для подключения (который есть сейчас), и если подключена, то шаблон для отключения с запросом одноразового пароля.
Есть такое приложение
Было бы очень круто, еслиб можно было шифровать некоторые папки на битрикс диск.
просто в настройках Битрикс24.Диск выделяешь папки которые шифровать!
думаю с учетом того что многие боятся хранить данные в облаке, то это было бы очень правильно!
Типа групповое шифрование или шифрование личных файлов. хотяб пинкодом каким (легкое шифрование, чтоб ресурсы сильно не использовал комп) ну или по выбору как шифровать.
Было бы очень круто, еслиб можно было шифровать некоторые папки на битрикс диск.
просто в настройках Битрикс24.Диск выделяешь папки которые шифровать!
думаю с учетом того что многие боятся хранить данные в облаке, то это было бы очень правильно!
Типа групповое шифрование или шифрование личных файлов. хотяб пинкодом каким (легкое шифрование, чтоб ресурсы сильно не использовал комп) ну или по выбору как шифровать.
Они не могут посмотреть ситуацию по обновлениям модулей и т.п. Я не готов давать полноценного Админа при каждом таком случае.
Добавьте в уровни доступа такую мелочь, пожалуйста.
Добавьте в уровни доступа такую мелочь, пожалуйста.
Хотелось бы иметь возможность для Администратора просматривать все чаты, которые происходят в компании
За сутки зарегистрировалось 800+ новых пользователей
Регистрировались боты через /bitrix/admin/ - аторизация в битрикс 24 с несуществующих ящиков и затем положили наш почтовый сервер.
Хостер дал рекомендацию:
Если будет решение из коробки, будет здорово.
Регистрировались боты через /bitrix/admin/ - аторизация в битрикс 24 с несуществующих ящиков и затем положили наш почтовый сервер.
Хостер дал рекомендацию:
| В случае, если данные электронные письма являются запросами подтверждения регистрации, можем рекомендовать Вам обратиться к разработчику Вашего проекта для настройки предварительной проверки существования электронного почтового ящика перед отправкой уведомления. |
© 2001-2023 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом.
Соглашение об использовании сайта
Соглашение об использовании сайта
