Идеи пользователя
В /etc/nginx/nginx.conf есть
Из-за SAMEORIGIN не работает просмотр сайта через новую Яндекс-метрику во фрейме. Нельзя посмотреть карту ссылок и прочее.
Яндекс :
Отключите add_header X-Frame-Options SAMEORIGIN в ngixn для метрики и добавьте подобную опцию в "Битрикс управление сайтом".
add_header X-Frame-Options SAMEORIGIN; |
Из-за SAMEORIGIN не работает просмотр сайта через новую Яндекс-метрику во фрейме. Нельзя посмотреть карту ссылок и прочее.
Яндекс :
if ($http_referer !~ "^https?://([^/]+metrika.*yandex\.(ru|ua|com|com\.tr|by|kz)|([^/]+\.)?webvisor\.com)/"){
add_header X-Frame-Options SAMEORIGIN;
} |
Отключите add_header X-Frame-Options SAMEORIGIN в ngixn для метрики и добавьте подобную опцию в "Битрикс управление сайтом".
Считаю нужным добавить в сканер безопасности функционал поиска вредоносного кода, либо сделать отдельный компонент для этого. Битриксовский компонент "Поиск троянов" подобные функции не выполняет, а необходимость есть и острая.
Предлагаю разлогинивать или начинать отдельную сессию при показе сайта во фрейме.
Пример - смотрю карту кликов в Яндекс.Метрике 2.0 параллельно с правкой сайта в админке. И вижу в карте кликов административный интерфейс своего сайта, что неудобно, а может и небезопасно. Хотелось бы, чтобы в обычной вкладке я оставался залогиненным, а во фрейме мне отображался сайт как для обычного пользователя.
Пример - смотрю карту кликов в Яндекс.Метрике 2.0 параллельно с правкой сайта в админке. И вижу в карте кликов административный интерфейс своего сайта, что неудобно, а может и небезопасно. Хотелось бы, чтобы в обычной вкладке я оставался залогиненным, а во фрейме мне отображался сайт как для обычного пользователя.
В защите от фреймов предлагаю ввести исключение на основе того сайта, где находится этот включаемый фрейм.
Пример - при включенной защите от фреймов перестают работать карты ссылок и кликов в Яндекс.Метрике 2.0. Хотелось бы, чтобы ее можно было добавить в исключения, а для всех остальных защита была включена. А лазить включать/выключать, конечно, можно, но весьма неудобно.
Пример - при включенной защите от фреймов перестают работать карты ссылок и кликов в Яндекс.Метрике 2.0. Хотелось бы, чтобы ее можно было добавить в исключения, а для всех остальных защита была включена. А лазить включать/выключать, конечно, можно, но весьма неудобно.
Стандартный монитор качества учитывает наличие страниц и разделов с именами вроде test.php но почему то бесстрастно относится к содержанию кода.
В больших проектах иногда накапливается столько пользовательских шаблонов и компонентов, что нередко в этих самых компонентах забываются строки вроде console.log и echo <pre> arresult... Даже если они закомментированы, не хорошо такое оставлять.
Поэтому при сдаче проекта в мониторе качества мне хотелось бы видеть анализ папок /local/ и bitrix/components/* /bitrix/modules/* на наличие там подобных строк кода, и соответствующие предупреждения в случае обнаружения таковых.
* - все посторонние, за исключением родных директорий битрикса, папки и файлы
В больших проектах иногда накапливается столько пользовательских шаблонов и компонентов, что нередко в этих самых компонентах забываются строки вроде console.log и echo <pre> arresult... Даже если они закомментированы, не хорошо такое оставлять.
Поэтому при сдаче проекта в мониторе качества мне хотелось бы видеть анализ папок /local/ и bitrix/components/* /bitrix/modules/* на наличие там подобных строк кода, и соответствующие предупреждения в случае обнаружения таковых.
* - все посторонние, за исключением родных директорий битрикса, папки и файлы
Добавить описание рядом с IP адресом в модуле "Проактивная защита" -> "Защита административной части".
Сейчас есть куча IP адресов и не понятно к какому сотруднику или для каких целей используется тот или иной адрес и кому он выдан.
Предлагаю просто добавить текстовое поле, в котором можно добавить описание для IP адреса.
Сейчас есть куча IP адресов и не понятно к какому сотруднику или для каких целей используется тот или иной адрес и кому он выдан.
Предлагаю просто добавить текстовое поле, в котором можно добавить описание для IP адреса.
Предлагаю развивать сканер дальше - в сервис мониторинга безопасности.
Сейчас сканер можно запускать только вручную, что на многих сайтах самими владельцами не делается. Потому было бы неплохо поставить под расписание сканирование сайта. Да, пусть внутреннее сканирование и зависит от обновлений платформы, но внешнее сканирование всегда ведь актуализируется без участия владельцев сайтов.
Сейчас сканер можно запускать только вручную, что на многих сайтах самими владельцами не делается. Потому было бы неплохо поставить под расписание сканирование сайта. Да, пусть внутреннее сканирование и зависит от обновлений платформы, но внешнее сканирование всегда ведь актуализируется без участия владельцев сайтов.
- проверка воровства трафика в следствие мобильного или поискового редиректа
- проверка на блокировку сайта в следствие заражения в Google и Яндекс;
- проверка на блокировку сайта антивирусами;
- проверка узявимостей SSL
Столкнулись с такой моментом
Пользователь может просто зарегистрироваться на сайте и авторизоваться через соц сеть
На сайте стоит проверка на уникальность email'a.
В случае если такой email уже есть на сайте, а затем пользователь авторизуется/регистрируется через соц сеть, то спокойно создается второй аккаунт с такой же почтой.
Было бы не плохо избежать данного бага и при наличии пользователя с такое же почтой привязывать его к уже существующему аккаунту
Пользователь может просто зарегистрироваться на сайте и авторизоваться через соц сеть
На сайте стоит проверка на уникальность email'a.
В случае если такой email уже есть на сайте, а затем пользователь авторизуется/регистрируется через соц сеть, то спокойно создается второй аккаунт с такой же почтой.
Было бы не плохо избежать данного бага и при наличии пользователя с такое же почтой привязывать его к уже существующему аккаунту
Самый обычный кейс:
- ну ты зарегайся, я тебе права админа дам
* идет регается с паролем 111111 *
- готово
- права выдал
И система не ругнется, потому что пароль нам неизвестен. Соответственно, при изменении пароля (добавлении нового) надо смотреть его текущую политику - и информацию по этой политике сохранять. И если пользовательский пароль не попадает под новую группу - запрещать ставить группу.
- ну ты зарегайся, я тебе права админа дам
* идет регается с паролем 111111 *
- готово
- права выдал
И система не ругнется, потому что пароль нам неизвестен. Соответственно, при изменении пароля (добавлении нового) надо смотреть его текущую политику - и информацию по этой политике сохранять. И если пользовательский пароль не попадает под новую группу - запрещать ставить группу.
© 2001-2023 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом.
Соглашение об использовании сайта
Соглашение об использовании сайта
Быть может лучшим решением было бы посмотреть в сторону CSP (Content Security Policy). Таким образом:
1. Оставляем "X-Frame-Options: SAMEORIGIN" в покое
2. Настраиваем CSP с учетом необходимостей вашего проекта. В том числе и (Chrome 40+, FF 33+)
И как бонус, повысите безопасность проекта в целом. Разумеется, при условии адекватной настройки CSP