Идеи пользователя

Рейтинг: 14.6966  
На голосовании
Предложил Пользователь 25773 28.12.2015 12:20:55

Отключить блокировку фреймов для Яндекс-метрики в BitrixEnv и БУС

В /etc/nginx/nginx.conf есть

add_header X-Frame-Options SAMEORIGIN;

Из-за SAMEORIGIN не работает просмотр сайта через новую Яндекс-метрику во фрейме. Нельзя посмотреть карту ссылок и прочее.

Яндекс рекомендует:
if ($http_referer !~ "^https?://([^/]+metrika.*yandex\.(ru|ua|com|com\.tr|by|kz)|([^/]+\.)?webvisor\.com)/"){
  add_header X-Frame-Options SAMEORIGIN;
}

Отключите add_header X-Frame-Options SAMEORIGIN в ngixn для метрики и добавьте подобную опцию в "Битрикс управление сайтом".
Рейтинг: -2.3335  
Ответил Красичков Андрей 28.12.2015 16:51:11
Это частный кейс, который, требует частного решения - правки конфигов под нужды проекта. Конфигурация виртуальной машины слишком общая, дабы делать какие-то хаки для конкретных third-party ресурсов. Тем более, что проверка referer'а в целом сомнительное решение.

Быть может лучшим решением было бы посмотреть в сторону CSP (Content Security Policy). Таким образом:
1. Оставляем "X-Frame-Options: SAMEORIGIN" в покое
2. Настраиваем CSP с учетом необходимостей вашего проекта. В том числе и frame-ancestors (Chrome 40+, FF 33+)


И как бонус, повысите безопасность проекта в целом. Разумеется, при условии адекватной настройки CSP
Рейтинг: 2.4734  
На голосовании
Предложил Пользователь 5172 23.09.2015 15:58:33

Поиск вредоносного кода в сканере безопасности

Считаю нужным добавить в сканер безопасности функционал поиска вредоносного кода, либо сделать отдельный компонент для этого. Битриксовский компонент "Поиск троянов" подобные функции не выполняет, а необходимость есть и острая.
Рейтинг: 2.0849  
На голосовании
Предложил Пользователь 1756 09.09.2015 19:34:45

Разлогинивать при показе сайта во фрейме

Предлагаю разлогинивать или начинать отдельную сессию при показе сайта во фрейме.
Пример - смотрю карту кликов в Яндекс.Метрике 2.0 параллельно с правкой сайта в админке. И вижу в карте кликов административный интерфейс своего сайта, что неудобно, а может и небезопасно. Хотелось бы, чтобы в обычной вкладке я оставался залогиненным, а во фрейме мне отображался сайт как для обычного пользователя.
Рейтинг: 4.5346  
На голосовании
Предложил Пользователь 1756 09.09.2015 19:29:05

Сайты-исключения в защите от фреймов

В защите от фреймов предлагаю ввести исключение на основе того сайта, где находится этот включаемый фрейм.
Пример - при включенной защите от фреймов перестают работать карты ссылок и кликов в Яндекс.Метрике 2.0. Хотелось бы, чтобы ее можно было добавить в исключения, а для всех остальных защита была включена. А лазить включать/выключать, конечно, можно, но весьма неудобно.
Рейтинг: 0.1084  
На голосовании
Предложил Пользователь 158123 27.07.2015 12:42:05

Проверка отсутствия отладочной информации в мониторе качества

Стандартный монитор качества учитывает наличие страниц и разделов с именами вроде test.php но почему то бесстрастно относится к содержанию кода.
В больших проектах иногда накапливается столько пользовательских шаблонов и компонентов, что нередко в этих самых компонентах забываются строки вроде console.log и echo <pre> arresult... Даже если они закомментированы, не хорошо такое оставлять.

Поэтому при сдаче проекта в мониторе качества мне хотелось бы видеть анализ папок /local/ и bitrix/components/* /bitrix/modules/* на наличие там подобных строк кода, и соответствующие предупреждения в случае обнаружения таковых.

* - все посторонние, за исключением родных директорий битрикса, папки и файлы
Рейтинг: 2.7862  
На голосовании
Предложил Пользователь 180430 17.06.2015 12:29:09

Добавить описание рядом с IP адресом в модуле "Проактивная защита" -> "Защита административной части"

Добавить описание рядом с IP адресом в модуле "Проактивная защита" -> "Защита административной части".

Сейчас есть куча IP адресов и не понятно к какому сотруднику или для каких целей используется тот или иной адрес и кому он выдан.

Предлагаю просто добавить текстовое поле, в котором можно добавить описание для IP адреса.

Рейтинг: 1.016  
На голосовании
Предложил Пользователь 93386 15.04.2015 11:21:08

Сканер безопасности - сервис мониторинга

Предлагаю развивать сканер дальше - в сервис мониторинга безопасности.
Сейчас сканер можно запускать только вручную, что на многих сайтах самими владельцами не делается. Потому было бы неплохо поставить под расписание сканирование сайта. Да, пусть внутреннее сканирование и зависит от обновлений платформы, но внешнее сканирование всегда ведь актуализируется без участия владельцев сайтов.  
Рейтинг: 2.432  
На голосовании
Предложил Пользователь 93386 15.04.2015 11:14:00

Инспектор сайтов - добавить проверки безопастности

  • проверка воровства трафика в следствие мобильного или поискового редиректа
  • проверка на блокировку сайта в следствие заражения в Google и Яндекс;
  • проверка на блокировку сайта антивирусами;
  • проверка узявимостей SSL
Рейтинг: 3.8829  
На голосовании
Предложил Пользователь 147227 01.04.2015 13:16:20

Авторизация через соц сети

Столкнулись с такой моментом

Пользователь может просто зарегистрироваться на сайте и авторизоваться через соц сеть

На сайте стоит проверка на уникальность email'a.
В случае если такой email уже есть на сайте, а затем пользователь авторизуется/регистрируется через соц сеть, то спокойно создается второй аккаунт с такой же почтой.

Было бы не плохо избежать данного бага и при наличии пользователя с такое же почтой привязывать его к уже существующему аккаунту
Рейтинг: 2.9115  
На голосовании
Предложил Пользователь 11948 01.10.2014 12:34:27

Политика безопасности не учитывает ранее введенный пароль

Самый обычный кейс:

- ну ты зарегайся, я тебе права админа дам
* идет регается с паролем 111111 *
- готово
- права выдал

И система не ругнется, потому что пароль нам неизвестен. Соответственно, при изменении пароля (добавлении нового) надо смотреть его текущую политику - и информацию по этой политике сохранять. И если пользовательский пароль не попадает под новую группу - запрещать ставить группу.