часто требуется ограничить определенных пользователей на вход, например, только из офиса или наоборот, разрешить только некоторым пользователям вход с любых IP, а всем остальным - только из офиса (со статическим IP)
хочется иметь возможность на ограничение на вход пользователя с определенного IP или по маске IP, например, 8.7.6.*
Бывают ситуации, когда надо БЫСТРО заблокировать всем пользователям доступ к порталу. Саппорт предлагает:
К сожалению, нет такой возможности заблокировать на время портал от сотрудников. Единственное что вы можете сделать – уволить всех сотрудников и потом снова принять их на работу и при этом учесть, что через 50 дней портал будет автоматически деактивирован и удален, если на нем вообще не будет активности за этот период. И если вы сотрудников повторно будете приглашать, то они должны будут создать новые Маил адреса, так как для системы они уже существуют и она будет выдавать ошибку: Пользователи с такими email уже существуют.
Но это очень не удобно, когда приходят люди, желающие незаконно изъять к информацию, бывает что время сидеть и увольнять всех пользователей просто нету...
по событию: делать автоматом перед любым обновлением;
по расписанию: начинать делать в определенные часы и минуты,
при этом оставляя от трех до шести резервных копий и уже потом затирать старые, тоже автоматом, после чего сообщать администратору или модератору сайта (портала) о том, что он может скачать бекап по конкретной, представленной в письме ссылке.
Данное решение позволит не думать о бекапах хостера и вообще о бекапах самого сайта, всегда их иметь под рукой и понимать по каким именно причинам был сделан тот или иной бекап.
Автоматические бэкапы делаем. Автоматом перед обновлением - нет, это может быть очень длительная операция, к которой пользователь должен подходить осознанно.
Все чаще и чаще сталкиваясь с проблемой узких мест в безопасности и определения движка предлагаю рассмотреть и внедрить возможность подмены путей к js и css, к файлам шаблонов.
в коде сайта встречаются пути /bitrix/.... - идеально, чтобы нигде на сайте не было такого упоминания
также было бы совсем неплохо, замаскировать стандартный путь к админке и сделать это обязательным правилом настройки сайта! Даже если и существует запрет на ip адреса, но это реально выдает платформу, на которой сделан сайт.
Лучшая безопасность для сайта - полная анонимность его платформы, так сказать абсолютная!
И хоть идеальной анонимности добиться трудно, но хочется верить, что грамотное решение в этой сфере, уважаемые коллеги из Битрикса, вы сможете предложить.
Считаю, что необходимо ввести административные ограничения на аплоад файлов пользователем, как в группы, так и в личные спейсы пользователей.
Несанкционированная утечка информации - проблема, в общем-то, не новая. Очень часто работник со своего рабочего места имеет доступ к документам, которые не должны оказаться за пределами локальной сети. В некоторых отделах, например, отключены УСБ, заблокированы веб-мэйлеры и файл-шаринги, а исходящая почта соответствующим образом контролируется и протоколируется.
Битрикс24 даёт пользователю возможность, грубо говоря, НЕЗАМЕТНО стырить документы (с рабочего компа поднять, на домашнем сгрузить, и это никак и нигде не будет зафиксировано), предназначенные исключительно для внутреннего пользования.
Кроме того, всегда существует риск того, что, работник потеряет контроль над своим эккаунтом - тогда злоумышленник, им завладевший, получит доступ к рабочим документам пользователя, а они могут содержать и очень-очень закрытую информацию.
Поэтому и необходим административный контроль над аплоадом файлов пользователями : те, кому это по работе необходимо - пусть, тем кому нет необходимости - уж лучше запретить. В данный момент администратор может на раздел Файлы пользователя настроить права "только для чтения", но это обходится через кнопку "Добавить".
Необходимо сделать возможность указывать в адм. разделе домены эл. почты с которых можно регистрироваться. (Желательно: белый список, черный список) Сейчас выглядит вот так: Администратор установил - "Запрашивать подтверждение регистрации по E-mail" Но посетитель Х, выполняя это требование, регистрируется с адресом эл. почты vasiliy@mailforspam.com, и без проблем проходит регистрацию. (Спасибо сервисам таким как mailforspam.com и т.п.). И потом куча проблем....... возможно
В настоящий момент из личного кабинета можно изменить свой адрес электронной почты на любой другой, даже если такой уже имеется в системе или такого ящика вообще не существует, причем настройка "Запрашивать подтверждение регистрации по E-mail" никакой роли не играет. 1. Необходимо сделать проверку на совпадение, как это сделано при смене логина. 2. Необходимо отправлять подтверждение регистрации на новый ящик электронной почты. Причем сделать ограничение по количеству изменений электронной почты за определенное время. А то сейчас получается так: Не нравится тебе человек Х. Регистрируемся, например, на сайте 1c-bitrix.ru, подписываемся на все сообщения форумов и кучу всяких рассылок, а потом меняешь свой емайл, на емайл человека Х. И его заваливает сообщениями. А если зарегистрировать много различных логинов, на всех подписаться, и на всех сменить адрес электронной почты на адрес человека Х, интересно, что будет?? И не на пользу пойдет и сайту, который отсылает кучу сообщений на адреса людей, которые не подписывались сами на эти рассылки. Которые будут активно жаловаться на "СПАМ".
Столкнулись с такой проблемой: если в браузере набрать путь до любой папки, к которой нет доступа, выдается статус 403 и стандартная страница forbidden... http://dev.1c-bitrix.ru/upload/
В редких случаях кто-то устанавливается свою страницу в дизайне сайта для 403 ошибки. К тому же на ней может выводится информация о сервере, что нарушает безопасность проектов.
Есть предложение, для повышения качества проектов, включить в стандартную поставку битрикса простейшую html страницу для 403 ошибки с текстом "403 ошибка. Страница не доступна."
Автоматом перед обновлением - нет, это может быть очень длительная операция, к которой пользователь должен подходить осознанно.