Идеи пользователя

Рейтинг: 19.1827  
Внедрено
Предложил Пользователь 6081 15.06.2016 13:26:39

Исправить уязвимость в безопасности единого профиля Битрикс24.Нетворк

В функционале авторизации через единый профиль есть такая проблема: если я авторизовался на каком-то сайте с помощью своего нетворка, то в админке этого сайта, в выпадающем меню рядом с кнопкой профиля на панели управления я могу видеть список всех сайтов, на которых я авторизовался с помощью нетворка и могу переключаться между ними, это удобно.

Но есть проблема - помимо меня список моих сайтов может увидеть локальный администратор данного сайта, авторизовавшись подо мной. Таким образом - любой пользоваль, который имеет права для авторизации под другими пользователями сайта - может видеть список всех проектов, на которых пользователь авторизован с помощью нетворка... Это НЕОБХОДИМО исправить.

Обсуждение на форуме - http://dev.1c-bitrix.ru/community/forums/forum7/topic84949/
Рейтинг: -0.1737  
Ответил Maks Sidorenko 16.06.2016 12:11:23
Доступ к списку сайтов - это отдельный scope OAuth-сервера, и когда пользователь авторизуется в админке, у него отдельно запрашивается доступ к этому scope, и он дает на это вполне осознанное согласие. Так это работало с самого начала, и так это работает сейчас.

Причем, вполне можно авторизовываться как в админке, так и в публичке, не давая сайту этого права доступа.

Рейтинг: 10.9383  
Внедрено
Предложил Пользователь 4146 29.10.2013 17:41:36

Google Authenticator вместо Bitrix OTP

Добавьте, пожалуйста, возможность 2х этапной авторизации через Google Authenticator, а не через отдельное приложение Bitrix OTP. Это очень удобно! И не будет надобности ставить второе приложение.
Рейтинг: 0  
Ответил Красичков Андрей 18.10.2014 16:37:57
В модуле security 14.5.6 вышла поддержка приложений типа Google Authenticator (Authenticator для Windows Phone, FreeOTP, DuoMobile и т.д.). Помимо прочего, так же добавилась и поддержка TOTP OATH-алгоритма (Time-based One Time Password Algorithm, RFC 6238)
Для подключения, существует компонент security.user.otp.init
Административный интерфейс, увы, пока не приспособлен для подключения этих приложений, но это будет исправлено в ближайших обновлениях.
Рейтинг: 36.5675  
Внедрено
Предложил Пользователь 17771 20.11.2012 10:57:33

Резервное копирование по событию и расписанию

Резервные копии нужно автоматизировать

  • по событию: делать автоматом перед любым обновлением;
  • по расписанию: начинать делать в определенные часы и минуты,
при этом оставляя от трех до шести резервных копий и уже потом затирать старые, тоже автоматом, после чего сообщать администратору или модератору сайта (портала) о том, что он может скачать бекап по конкретной, представленной в письме ссылке.

Данное решение позволит не думать о бекапах хостера и вообще о бекапах самого сайта, всегда их иметь под рукой и понимать по каким именно причинам был сделан тот или иной бекап.
Рейтинг: 0.083  
Ответил Шаромов Денис 03.04.2013 16:07:51
Автоматические бэкапы делаем.
Автоматом перед обновлением - нет, это может быть очень длительная операция, к которой пользователь должен подходить осознанно.
Рейтинг: 19.5119  
Внедрено
Предложил Пользователь 101525 23.05.2012 11:01:41

Backup по расписанию

Уважаемые коллеги, почему бы Вам не добавить Backup по расписанию, к примеру раз в нень\неделю\месяц с выбором времени или через определенное время.
Так же желательно его сделать для Backup в облака...
Рейтинг: 27.7392  
Внедрено
Предложил Пользователь 44510 11.11.2011 11:04:34

Разграничение доступа к разделам инфоблоков

Разграничение доступа к разделам инфоблоков.Разграничить права на доступ к разделом инфоблока различным группам пользователей.