часто требуется ограничить определенных пользователей на вход, например, только из офиса
или наоборот, разрешить только некоторым пользователям вход с любых IP, а всем остальным - только
из офиса (со статическим IP)

хочется иметь возможность на ограничение на вход пользователя с определенного IP или по маске IP, например, 8.7.6.*

Бывают ситуации, когда надо БЫСТРО заблокировать всем пользователям доступ к порталу. Саппорт предлагает:

Но это очень не удобно, когда приходят люди, желающие незаконно изъять к информацию, бывает что время сидеть и увольнять всех пользователей просто нету...

предлагаю добавить возможность при регистрации пользователей прогонять их данные через www.stopforumspam.com - масса негодяев и ботов отсеятся сразу

Резервные копии нужно автоматизировать

• по событию: делать автоматом перед любым обновлением;
  

• по расписанию: начинать делать в определенные часы и минуты,
  

при этом оставляя от трех до шести резервных копий и уже потом затирать старые, тоже автоматом, после чего сообщать администратору или модератору сайта (портала) о том, что он может скачать бекап по конкретной, представленной в письме ссылке.

Данное решение позволит не думать о бекапах хостера и вообще о бекапах самого сайта, всегда их иметь под рукой и понимать по каким именно причинам был сделан тот или иной бекап.

Все чаще и чаще сталкиваясь с проблемой узких мест в безопасности и определения движка
предлагаю рассмотреть и внедрить возможность подмены путей к js и css, к файлам шаблонов.


в коде сайта встречаются пути /bitrix/.... - идеально, чтобы нигде на сайте не было такого упоминания

также было бы совсем неплохо, замаскировать стандартный путь к админке и сделать это обязательным правилом настройки сайта! Даже если и существует запрет на ip адреса, но это реально выдает платформу, на которой сделан сайт.

Лучшая безопасность для сайта - полная анонимность его платформы, так сказать абсолютная!

И хоть идеальной анонимности добиться трудно, но хочется верить, что грамотное решение в этой сфере, уважаемые коллеги из Битрикса, вы сможете предложить.

Здравствуйте!

Считаю, что необходимо ввести административные ограничения на аплоад файлов пользователем, как в группы, так и в личные спейсы пользователей.

Несанкционированная утечка информации - проблема, в общем-то, не новая. Очень часто работник со своего рабочего места имеет доступ к документам, которые не должны оказаться за пределами локальной сети. В некоторых отделах, например, отключены УСБ, заблокированы веб-мэйлеры и файл-шаринги, а исходящая почта соответствующим образом контролируется и протоколируется.

Битрикс24 даёт пользователю возможность, грубо говоря, НЕЗАМЕТНО стырить документы (с рабочего компа поднять, на домашнем сгрузить, и это никак и нигде не будет зафиксировано), предназначенные исключительно для внутреннего пользования.

Кроме того, всегда существует риск того, что, работник потеряет контроль над своим эккаунтом - тогда злоумышленник, им завладевший, получит доступ к рабочим документам пользователя, а они могут содержать и очень-очень закрытую информацию.

Поэтому и необходим административный контроль над аплоадом файлов пользователями : те, кому это по работе необходимо - пусть, тем кому нет необходимости - уж лучше запретить. В данный момент администратор может на раздел Файлы пользователя настроить права "только для чтения", но это обходится через кнопку "Добавить".

https://www.bitrix24.ru/support/forum/forum1/topic1065/

кроме того, пользователь может создать новую скрытую группу и неконтролируемо аплоадить файлы через неё:

https://www.bitrix24.ru/support/forum/forum1/topic1063/

Необходимо сделать возможность указывать в адм. разделе домены эл. почты с которых можно регистрироваться. (Желательно: белый список, черный список)
 Сейчас выглядит вот так:
Администратор установил - "Запрашивать подтверждение регистрации по E-mail"
Но посетитель Х, выполняя это требование, регистрируется с адресом эл. почты vasiliy@mailforspam.com, и без проблем проходит регистрацию. (Спасибо сервисам таким как mailforspam.com и т.п.). И потом куча проблем....... возможно

В настоящий момент из личного кабинета можно изменить свой адрес электронной почты на любой другой, даже если такой уже имеется в системе или такого ящика вообще не существует, причем настройка "Запрашивать подтверждение регистрации по E-mail" никакой роли не играет.
 1. Необходимо сделать проверку на совпадение, как это сделано при смене логина.
2. Необходимо отправлять подтверждение регистрации на новый ящик электронной почты. Причем сделать ограничение по количеству изменений электронной почты за определенное время.
 А то сейчас получается так:
Не нравится тебе человек Х. Регистрируемся, например, на сайте 1c-bitrix.ru, подписываемся на все сообщения форумов и кучу всяких рассылок, а потом меняешь свой емайл, на емайл человека Х. И его заваливает сообщениями.
 А если зарегистрировать много различных логинов, на всех подписаться, и на всех сменить адрес электронной почты на адрес человека Х, интересно, что будет??
И не на пользу пойдет и сайту, который отсылает кучу сообщений на адреса людей, которые не подписывались сами на эти рассылки. Которые будут активно жаловаться на "СПАМ".

Сделать доп поле в базе данных у пользователя, где хранить IP адрес с которого пользователь регистрировался.

Столкнулись с такой проблемой:
если в браузере набрать путь до любой папки, к которой нет доступа, выдается статус 403 и стандартная страница forbidden... http://dev.1c-bitrix.ru/upload/

В редких случаях кто-то устанавливается свою страницу в дизайне сайта для 403 ошибки. К тому же на ней может выводится информация о сервере, что нарушает безопасность проектов.

Есть предложение, для повышения качества проектов, включить в стандартную поставку битрикса простейшую html страницу для 403 ошибки с текстом "403 ошибка. Страница не доступна."