Идеи пользователя
Сейчас выгрузка в excel происходит ВСЕГО списка данных, полученного с помощью фильтра (а не той страницы, которую видишь) с помощью php "на лету":
Если на хостинге мало памяти (или у вас очень много данных в журнале событий), то вместо выгрузки данных будет получена ошибка.
Предлагаю сделать пошаговую выгрузку данных в CSV/XML с созданием файла выгрузки, как это сделано для экспорта данных из инфоблока.
/bitrix/admin/event_log.php?mode=excel |
Если на хостинге мало памяти (или у вас очень много данных в журнале событий), то вместо выгрузки данных будет получена ошибка.
Предлагаю сделать пошаговую выгрузку данных в CSV/XML с созданием файла выгрузки, как это сделано для экспорта данных из инфоблока.
Модуль безопасности дает возможность блокировать на заданное время IP при превышении заданного количества хитов в заданный промежуток времени, но нет возможности блокировать IP на заданное время в случаях:
- заданного количества несовпадений пары логин/пароль
- заданного количества неверно набранного слова для защиты от автоматической регистрации
Жаль нет возможности загружать файлы к идее, а так загрузил бы журнал в Excel весом в 5,2 MЬ, каждая строка которого содержит инфу о неверно набранном слове для защиты или несовпадении пары логин/пароль. Весь этот журнал был собран журналом событий в течение суток, и в нем всего два IP-адреса, то есть был тупо перебор, с одного IP была попытка подбора пароля к логину admin (которого на проекте нет
), со второго IP был перебор для обхода каптчи. ЭТОТ БАЛАГАН НАДО ПРЕКРАЩАТЬ, и не силами модулей партнеров, а системно!
- заданного количества несовпадений пары логин/пароль
- заданного количества неверно набранного слова для защиты от автоматической регистрации
Жаль нет возможности загружать файлы к идее, а так загрузил бы журнал в Excel весом в 5,2 MЬ, каждая строка которого содержит инфу о неверно набранном слове для защиты или несовпадении пары логин/пароль. Весь этот журнал был собран журналом событий в течение суток, и в нем всего два IP-адреса, то есть был тупо перебор, с одного IP была попытка подбора пароля к логину admin (которого на проекте нет
), со второго IP был перебор для обхода каптчи. ЭТОТ БАЛАГАН НАДО ПРЕКРАЩАТЬ, и не силами модулей партнеров, а системно!В настройках проактивного фильтра добавьте варианты выбора, что проверять.
- CSS
-JavaScript
-SQL
-PHP
-XSS
По умолчанию всё включено.
- CSS
-JavaScript
-SQL
-PHP
-XSS
По умолчанию всё включено.
Постоянно боюсь неверно настроить резервное копирование и не распаковать потом.
Сделайте кнопку "Показать пароль", чтобы не было так страшно заполнять пароль. Я же пароль не печатаю, я копирую откуда-то и вставляю.
Сделайте кнопку "Показать пароль", чтобы не было так страшно заполнять пароль. Я же пароль не печатаю, я копирую откуда-то и вставляю.
Коллеги, вот честно говоря утомляет придумывать пароль, который бы соответствовал параметрам повышенного уровня безопасности, как того требует сканер безопасности.
То ли у меня с фантазией туго, то ли правда трудно. В общем, что требуется: надо рядом с полем "Пароль" сделать кнопку "Сгенерировать". И пусть он в соответствии с требованиями генерирует сразу в оба поля "Пароль" и "Повтор пароля", только не звездочками, а символами. У ISPManager так сделано, очень удобно бывает и не надо придумывать хороший пароль. Ну можно прямо с анимацией генерации (типа символы у поле там бегут ...)
То ли у меня с фантазией туго, то ли правда трудно. В общем, что требуется: надо рядом с полем "Пароль" сделать кнопку "Сгенерировать". И пусть он в соответствии с требованиями генерирует сразу в оба поля "Пароль" и "Повтор пароля", только не звездочками, а символами. У ISPManager так сделано, очень удобно бывает и не надо придумывать хороший пароль. Ну можно прямо с анимацией генерации (типа символы у поле там бегут ...)
Нужен механизм, который бы позволял ежедневно автоматически по крону анализировать изменения в файлах на хостинге и присылал бы на почту ежедневный отчет. В битриксе есть механизм контроля целостности, но для данной задачи он не подходит, приходится использовать сторонний скрипт, который мне пару раз очень помог при взломе хостинга, а вот штатный механизм – результата не дал…
Прошу добавить в Проверку сайта тест проверяющий чтобы сервер не открывал 404.php при попытке обращения к несуществующим: css, js, картинкам и к другой статике. Так как при такой неверной настройке веб-сервера, любой может заDOS`ить сайт простой публикацией ссылок на несуществующие картинки на популярных высоко-посещаемых форумах.
Простой факт всего лишь открытия страницы форума где есть ссылка (<img src="ваш_сайт.ру/отсутсвующая_картинка.jpg"> ) на ваш ресурс на несуществующую картинку -- будет равен ни больше ни меньше заходу этого пользователя на ваш сайт. Что вызовет нагрузку на веб-сервер и хит в модуле Веб-аналитика.
Так 100 500 посетителей Хабра, могут невольно стать посетителями Вашего сайта.
Проблема поднималась мной 3 года назад на партнерском форуме:
Пример правильного поведения сервера:
Пример не правильного поведения сервера:
PS: Мало того, любое подключение JS или CSS с ошибочным именем в теле страницы -- вызовет еще одно РЕКУРСИВНОЕ открытие данной страницы и когда длина очереди достигнет определенной величины, сервер перестанет принимать новые запросы и начнет возвращать ошибку 503 (Service Temporarily Unavailable, сервис временно недоступен)...
Простой факт всего лишь открытия страницы форума где есть ссылка (<img src="ваш_сайт.ру/отсутсвующая_картинка.jpg"> ) на ваш ресурс на несуществующую картинку -- будет равен ни больше ни меньше заходу этого пользователя на ваш сайт. Что вызовет нагрузку на веб-сервер и хит в модуле Веб-аналитика.
Так 100 500 посетителей Хабра, могут невольно стать посетителями Вашего сайта.
Проблема поднималась мной 3 года назад на партнерском форуме:
Пример правильного поведения сервера:
Пример не правильного поведения сервера:
PS: Мало того, любое подключение JS или CSS с ошибочным именем в теле страницы -- вызовет еще одно РЕКУРСИВНОЕ открытие данной страницы и когда длина очереди достигнет определенной величины, сервер перестанет принимать новые запросы и начнет возвращать ошибку 503 (Service Temporarily Unavailable, сервис временно недоступен)...
Ответил 
Шаромов Денис 14.03.2014 14:23:41
Шаромов Денис 14.03.2014 14:23:41
Разумное предложение, поставим в план работ.
предлагаю добавить возможность при регистрации пользователей прогонять их данные через - масса негодяев и ботов отсеятся сразу
Уверен, все, кто имеет сайты сообществ на платформе БУС, вынуждены удалять десятки спамерских аккаунтов за сутки.
В то же время, ни на одном из моих сайтов на платформе DLE не проскочил ни один бот! Разгадка проста - там стоит система "Вопрос-ответ" при регистрации, комментировании, размещении статей и отправке сообщений через форуму обратной связи.
Нет защиты лучше, чем система "Вопрос-ответ". Правда, не для ленивых. Вопросы типа "Сколько будет два плюс сто два" хрумер давно умеет решать. Но это уже проблема владельца сайта.
Дайте ему инструмент из коробки, и кому нужно воспользуются!
Чем хороша система защиты от ботов "Вопрос-ответ":
- китайские и им подобные боты не пройдут изначально (если ответы сделать на русском);
- проста для людей и непреодолима (если своевременно менять вопросы и ответы) для ботов;
- можно разрешить комментирование и отзывы гостям;
- для нормальной защиты достаточно одновременно иметь 1-2 вопроса, менять 1-2 раза в месяц (по опыту эксплуатации на сайтах с посещаемостью 3-7 тыс. посетителей в сутки);
- не надо обладать навыками программиста БУС, чтобы повысить степень защищенности сайта;
- нет зависимости от чужих сервисов (если сравнить со всякими рекапча, кейкаптча, акисметами и подобных)
Минусы:
- человек-спамер зарегистрируется, тут уже боремся иными способами.
Кстати, на моих сайтах, защищенных данной системой, человеки-спамеры регистрируются с логинами: adminzaebal, zadolbalsya, adminpridurok и подобных, ведь не так просто зарегистрироваться на форуме (школьнику двоечнику уж точно не преодолеть, если не пополнит багаж знаний, а в некоторых случаях и отличник не пройдет, пример далее), если стоит вопрос "Фамилия первого начальника нашего военного училища"!!!
Что мешает разработчикам вделать штатную систему вопрос-ответ? Это же не "колобки" от Айвана, за которые нужно платить огромные бабки!!!
Вся беда в том, что сами разработчики не имеют своих сайтов.........
В то же время, ни на одном из моих сайтов на платформе DLE не проскочил ни один бот! Разгадка проста - там стоит система "Вопрос-ответ" при регистрации, комментировании, размещении статей и отправке сообщений через форуму обратной связи.
Нет защиты лучше, чем система "Вопрос-ответ". Правда, не для ленивых. Вопросы типа "Сколько будет два плюс сто два" хрумер давно умеет решать. Но это уже проблема владельца сайта.
Дайте ему инструмент из коробки, и кому нужно воспользуются!
Чем хороша система защиты от ботов "Вопрос-ответ":
- китайские и им подобные боты не пройдут изначально (если ответы сделать на русском);
- проста для людей и непреодолима (если своевременно менять вопросы и ответы) для ботов;
- можно разрешить комментирование и отзывы гостям;
- для нормальной защиты достаточно одновременно иметь 1-2 вопроса, менять 1-2 раза в месяц (по опыту эксплуатации на сайтах с посещаемостью 3-7 тыс. посетителей в сутки);
- не надо обладать навыками программиста БУС, чтобы повысить степень защищенности сайта;
- нет зависимости от чужих сервисов (если сравнить со всякими рекапча, кейкаптча, акисметами и подобных)
Минусы:
- человек-спамер зарегистрируется, тут уже боремся иными способами.
Кстати, на моих сайтах, защищенных данной системой, человеки-спамеры регистрируются с логинами: adminzaebal, zadolbalsya, adminpridurok и подобных, ведь не так просто зарегистрироваться на форуме (школьнику двоечнику уж точно не преодолеть, если не пополнит багаж знаний, а в некоторых случаях и отличник не пройдет, пример далее), если стоит вопрос "Фамилия первого начальника нашего военного училища"!!!
Что мешает разработчикам вделать штатную систему вопрос-ответ? Это же не "колобки" от Айвана, за которые нужно платить огромные бабки!!!
Вся беда в том, что сами разработчики не имеют своих сайтов.........
В защите административного раздела (Проактивная защита) рядом с полями IP адресов, добавить напротив каждого поля комментарии администратора.
Когда в админке работает множество менеджеров на удаленке, и список IP адресов большой - бывает довольно сложно разобраться, где чей IP. Жизнь в этом плане стала бы гораздо легче, если бы на против каждого IP адреса появилась возможность добавлять комментарии, например:
"192.168.1.50-192.168.1.60" | "Вася Петров из Мурманска"
Когда в админке работает множество менеджеров на удаленке, и список IP адресов большой - бывает довольно сложно разобраться, где чей IP. Жизнь в этом плане стала бы гораздо легче, если бы на против каждого IP адреса появилась возможность добавлять комментарии, например:
"192.168.1.50-192.168.1.60" | "Вася Петров из Мурманска"
© 2001-2023 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом.
Соглашение об использовании сайта
Соглашение об использовании сайта
