Идеи для: Безопасность

Рейтинг: 1.672  
На голосовании
Предложил Odarchuk Sasha 06.02.2017 12:25:40

Security: Логирование входов в Б24

Очень бы хотелось просто получить доступ к ЛОГГИРОВАНИЮ чтобы видеть:
- откуда,
- с какого устройства,
- и мак адреса зашел в систему сотрудник
(с) Дмитрий Василенко
Рейтинг: 27.2801  
На голосовании
Предложил Клочков Илья 09.11.2016 16:44:33

Авторизация в админке по QR коду

Хотелось бы чтобы сделали возможность авторизации в админ панели битрикса - по QR коду (из мобильного приложения) , а так же возможность в профиле каждого пользователя выбирать тип авторизации.
Например модераторы авторизуются по паролям , а админы по QR коду.  
Рейтинг: 3.1302  
На голосовании
Предложил Кубагишев Сергей 12.07.2016 18:57:46

Проактивная защита для всех редакций Битрикс Управление сайтом

Здравствуйте!

Предлагаю внести Проактивную защиту во все редакции Битрикс Управление сайтом.

Какая картина сейчас? Например, Битрикс редакции Старт не имеет Проактивной защиты. Получается, он не защищен со стороны платформы 1С Битрикс, а это накладывает определенный репутационный отпечаток на производителя.

Образно говоря, предлагаю производителю Битрикс Управление сайтом защитить все свои редакции, не только активно, но и проактивно.

Также, внесите, пожалуйста, в проактивную защиту решение "Поиск троянов".
Рейтинг: -0.252  
На голосовании
Предложил Бородина Юлия 09.07.2016 20:50:16

Предложение к магазинам

В продуктовых магазинах когда пробиваешь на кассе просроченный товар , он просто на просто не будет пробиваться, или пищать. И продавцам проще , и в магазин жалоб не поступает , с тем , что имеются просроченные  продукты , у людей не портиться здоровья из за кого либо съеденного , просроченного продукта. И людям с плохим зрением , в особенности пожилым , не требуется настойчиво искать срок годности , тк если продукт испорчен , в любом случае на кассе его распознает компьютер.
Рейтинг: 0  
Ответил Жуков Евгений 20.07.2016 12:36:39
Для любого товара можно указать период активности (в Вашем случае - ее конец). В этом случае товар не будет попадать в заказ. Правда, в каталоге он тоже не будет показываться.
Рейтинг: 19.1827  
Внедрено
Предложил ThinkUP 15.06.2016 13:26:39

Исправить уязвимость в безопасности единого профиля Битрикс24.Нетворк

В функционале авторизации через единый профиль есть такая проблема: если я авторизовался на каком-то сайте с помощью своего нетворка, то в админке этого сайта, в выпадающем меню рядом с кнопкой профиля на панели управления я могу видеть список всех сайтов, на которых я авторизовался с помощью нетворка и могу переключаться между ними, это удобно.

Но есть проблема - помимо меня список моих сайтов может увидеть локальный администратор данного сайта, авторизовавшись подо мной. Таким образом - любой пользоваль, который имеет права для авторизации под другими пользователями сайта - может видеть список всех проектов, на которых пользователь авторизован с помощью нетворка... Это НЕОБХОДИМО исправить.

Обсуждение на форуме - http://dev.1c-bitrix.ru/community/forums/forum7/topic84949/
Рейтинг: -0.1737  
Ответил Maks Sidorenko 16.06.2016 12:11:23
Доступ к списку сайтов - это отдельный scope OAuth-сервера, и когда пользователь авторизуется в админке, у него отдельно запрашивается доступ к этому scope, и он дает на это вполне осознанное согласие. Так это работало с самого начала, и так это работает сейчас.

Причем, вполне можно авторизовываться как в админке, так и в публичке, не давая сайту этого права доступа.

Рейтинг: 2.7535  
На голосовании
Предложил Долганин Антон 11.05.2016 08:13:34

Отдельная рекомендация модуля безопасности - сменить логин админа

Капча при авторизации под админом, если вы не вводили до этого пароля, верный признак того, что ваш логин брутфорсят. Что в принципе не повод думать, что атака именно под вас идет, но точно значит то, что робот вас нашел и не отстанет.

Чем черт не шутит - лучше поменять логин со стандартного (или вашего текущего). Мне кажется, такая рекомендация для незнающих не помешает.


Рейтинг: 1.1583  
На голосовании
Предложил Долганин Антон 24.02.2016 08:30:08

В стандарты безопасности включить проверку логинов админов

Предлагаю показывать уровень безопасности проекта "начальный", если среди админов есть администраторы с простыми логинами (пока на ум приходит только admin). Опыт наблюдения показал, что именно с проектами, где есть admin, связаны постоянные переборы его пароля. Не ровен час, какому-то пауку повезет. А так им придется еще гадать логин, и даже при простом 123456 риски взлома очень сильно упадут.
Рейтинг: 9.399  
На голосовании
Предложил Зайцев Артемий 28.12.2015 12:20:55

Отключить блокировку фреймов для Яндекс-метрики в BitrixEnv и БУС

В /etc/nginx/nginx.conf есть

add_header X-Frame-Options SAMEORIGIN;

Из-за SAMEORIGIN не работает просмотр сайта через новую Яндекс-метрику во фрейме. Нельзя посмотреть карту ссылок и прочее.

Яндекс рекомендует:
if ($http_referer !~ "^https?://([^/]+metrika.*yandex\.(ru|ua|com|com\.tr|by|kz)|([^/]+\.)?webvisor\.com)/"){
  add_header X-Frame-Options SAMEORIGIN;
}

Отключите add_header X-Frame-Options SAMEORIGIN в ngixn для метрики и добавьте подобную опцию в "Битрикс управление сайтом".
Рейтинг: -1.1237  
Ответил Красичков Андрей 28.12.2015 16:51:11
Это частный кейс, который, требует частного решения - правки конфигов под нужды проекта. Конфигурация виртуальной машины слишком общая, дабы делать какие-то хаки для конкретных third-party ресурсов. Тем более, что проверка referer'а в целом сомнительное решение.

Быть может лучшим решением было бы посмотреть в сторону CSP (Content Security Policy). Таким образом:
1. Оставляем "X-Frame-Options: SAMEORIGIN" в покое
2. Настраиваем CSP с учетом необходимостей вашего проекта. В том числе и frame-ancestors (Chrome 40+, FF 33+)


И как бонус, повысите безопасность проекта в целом. Разумеется, при условии адекватной настройки CSP
Рейтинг: 1.4734  
На голосовании
Предложил Виноградова Татьяна 23.09.2015 15:58:33

Поиск вредоносного кода в сканере безопасности

Считаю нужным добавить в сканер безопасности функционал поиска вредоносного кода, либо сделать отдельный компонент для этого. Битриксовский компонент "Поиск троянов" подобные функции не выполняет, а необходимость есть и острая.
Рейтинг: 1.0849  
На голосовании
Предложил Семочкин Михаил 09.09.2015 19:34:45

Разлогинивать при показе сайта во фрейме

Предлагаю разлогинивать или начинать отдельную сессию при показе сайта во фрейме.
Пример - смотрю карту кликов в Яндекс.Метрике 2.0 параллельно с правкой сайта в админке. И вижу в карте кликов административный интерфейс своего сайта, что неудобно, а может и небезопасно. Хотелось бы, чтобы в обычной вкладке я оставался залогиненным, а во фрейме мне отображался сайт как для обычного пользователя.
Рейтинг: 2.5346  
На голосовании
Предложил Семочкин Михаил 09.09.2015 19:29:05

Сайты-исключения в защите от фреймов

В защите от фреймов предлагаю ввести исключение на основе того сайта, где находится этот включаемый фрейм.
Пример - при включенной защите от фреймов перестают работать карты ссылок и кликов в Яндекс.Метрике 2.0. Хотелось бы, чтобы ее можно было добавить в исключения, а для всех остальных защита была включена. А лазить включать/выключать, конечно, можно, но весьма неудобно.
Рейтинг: 0.1084  
На голосовании
Предложил Itachi261092 27.07.2015 12:42:05

Проверка отсутствия отладочной информации в мониторе качества

Стандартный монитор качества учитывает наличие страниц и разделов с именами вроде test.php но почему то бесстрастно относится к содержанию кода.
В больших проектах иногда накапливается столько пользовательских шаблонов и компонентов, что нередко в этих самых компонентах забываются строки вроде console.log и echo <pre> arresult... Даже если они закомментированы, не хорошо такое оставлять.

Поэтому при сдаче проекта в мониторе качества мне хотелось бы видеть анализ папок /local/ и bitrix/components/* /bitrix/modules/* на наличие там подобных строк кода, и соответствующие предупреждения в случае обнаружения таковых.

* - все посторонние, за исключением родных директорий битрикса, папки и файлы
Рейтинг: 1.5221  
На голосовании
Предложил Свистунова Александра 17.06.2015 12:29:09

Добавить описание рядом с IP адресом в модуле "Проактивная защита" -> "Защита административной части"

Добавить описание рядом с IP адресом в модуле "Проактивная защита" -> "Защита административной части".

Сейчас есть куча IP адресов и не понятно к какому сотруднику или для каких целей используется тот или иной адрес и кому он выдан.

Предлагаю просто добавить текстовое поле, в котором можно добавить описание для IP адреса.

Рейтинг: 1.016  
На голосовании
Предложил Голубев Владислав 15.04.2015 11:21:08

Сканер безопасности - сервис мониторинга

Предлагаю развивать сканер дальше - в сервис мониторинга безопасности.
Сейчас сканер можно запускать только вручную, что на многих сайтах самими владельцами не делается. Потому было бы неплохо поставить под расписание сканирование сайта. Да, пусть внутреннее сканирование и зависит от обновлений платформы, но внешнее сканирование всегда ведь актуализируется без участия владельцев сайтов.  
Рейтинг: 1.432  
На голосовании
Предложил Голубев Владислав 15.04.2015 11:14:00

Инспектор сайтов - добавить проверки безопастности

  • проверка воровства трафика в следствие мобильного или поискового редиректа
  • проверка на блокировку сайта в следствие заражения в Google и Яндекс;
  • проверка на блокировку сайта антивирусами;
  • проверка узявимостей SSL
Рейтинг: 2.8829  
На голосовании
Предложил Рыков Иван 01.04.2015 13:16:20

Авторизация через соц сети

Столкнулись с такой моментом

Пользователь может просто зарегистрироваться на сайте и авторизоваться через соц сеть

На сайте стоит проверка на уникальность email'a.
В случае если такой email уже есть на сайте, а затем пользователь авторизуется/регистрируется через соц сеть, то спокойно создается второй аккаунт с такой же почтой.

Было бы не плохо избежать данного бага и при наличии пользователя с такое же почтой привязывать его к уже существующему аккаунту
Рейтинг: 1.9115  
На голосовании
Предложил Долганин Антон 01.10.2014 12:34:27

Политика безопасности не учитывает ранее введенный пароль

Самый обычный кейс:

- ну ты зарегайся, я тебе права админа дам
* идет регается с паролем 111111 *
- готово
- права выдал

И система не ругнется, потому что пароль нам неизвестен. Соответственно, при изменении пароля (добавлении нового) надо смотреть его текущую политику - и информацию по этой политике сохранять. И если пользовательский пароль не попадает под новую группу - запрещать ставить группу.