top_ua
Вхід
Ваш Бітрікс24
Авторизуйтеся, щоб увійти
до Бітрікс24 вашої компанії.
Вхід

Підтримка24

Архітектура безпеки Бітрікс24 в коробці

Рейтинг:

При проєктуванні програмного продукту «Бітрікс24» в коробці», питанням безпеки продукту приділялася особлива увага на всіх етапах розробки і тестування.

Політика безпеки

Політика безпеки - набір правил, що обмежують можливість авторизації користувачів з метою забезпечення певного рівня безпеки сайту. Політика безпеки налаштовується для групи користувачів.

Правила налаштування безпеки:

  • прив'язка сесії до IP-адресb або до мережі по масці - включення даного захисту робить непотрібним перехоплення ідентифікатора сесії. Даний тип захисту є найважливішим для захисту від XSS/CSS;

  • налаштування терміну активності сесії, щоб скорегувати налаштування PHP на хостингу;

  • налаштування терміну активності авторизації, що зберігається на комп'ютерах відвідувачів ( «запам'ятати себе»), а також прив'язка її до IP-адреси або до мережі по масці. Використання даного захисту робить неефективним будь-які XSS/CSS атаки на комп'ютер користувача, а також марним викрадення даних для авторизації з комп'ютера. Дані генеруються випадково, не містять криптографічної інформації для аналізу і не містять IP-адреси цього комп'ютера.

  • установка максимальної кількості одночасно запам'ятованих авторизаций для одного користувача. Якщо є обмеження 10, ви зможете запам'ятати себе тільки на 10 комп'ютерах з різними IP-адресами. Після цього старі запам'ятовані реєстрації авторизації будуть витіснятися і видалятися. Для адміністраторів дане правило встановлюється в 1.

  • установка терміну активності контрольного слова для відновлення пароля - це правило дозволяє мінімізувати ризики злому через механізм відновлення при перехопленні листів.

Для групи Адміністраторів встановлено підвищений рівень безпеки. Змінити налаштування безпеки можна на сторінці редагування параметрів групи. Для користувачів, які належать до декількох груп, діє найсуворіше правило безпеки по кожному з пунктів, тобто найсуворіша політика безпеки.

Єдина система авторизації

Ядро продукту і безпосередньо головний модуль містить в собі загальну для всіх модулів і всього сайту в цілому систему авторизації, реєстрації та управління користувачами і групами користувачів. У загальну базу даних, заносяться як співробітники компанії, так і користувачі веб-сайту.

Всі права в системі розподіляються виключно для груп користувачів.

Адміністративний інтерфейс дозволяє завести будь-яке число груп користувачів. Є дві групи, які обов'язково повинні бути присутніми в системі. Група Administrator, до якої належать користувачі з необмеженими правами і яким дозволяється використовувати на сайт програмний код. І група Everyone, до якої належать всі неавторизовані або незареєстровані користувачі на сайті.

При установці продукту створюється перший і єдиний на цей момент користувач в системі, який належить до групи Administrator і який може виконувати на сайті всі дії.

У системі заздалегідь заведені і налаштовані за правами доступу наступні групи:

  • Адміністратори - адміністратор з повним доступом і правом програмування;
  • Всі користувачі - неавторизований або незареєстрований відвідувач сайту;
  • Співробітники - всі співробітники компанії, зареєстровані на сайті;
  • Відділ кадрів - співробітники відділу кадрів;
  • Керівництво - керівники компанії;
  • Адміністрація порталу - користувачі з повними можливостями по управлінню всіма сервісами порталу;
  • Працює в панелі управління - користувачі, які можуть працювати в "Панелі управління" порталу;
  • Можуть створювати робочі групи - користувачі, які можуть створювати робочі групи;
  • Маркетинг і продажі - співробітники відділів маркетингу і продажів;
  • Техпідтримка - співробітники IT відділу, що забезпечують технічну підтримку;
  • Користувачі екстранета - всі користувачі, які мають доступ на сайт екстранета;
  • Можуть створювати робочі групи в екстранеті - всі користувачі, які мають право на створення робочих груп на сайті екстранета;
  • Адміністратори сайту екстранета - користувачі з повними можливостями з управління сервісами екстранета;
  • Поштові користувачі - користувачі, які авторизуються на порталі за прямим посиланням з поштових повідомлень.

У налаштуваннях модуля може бути перевірений і налаштований список користувачів, які належать до цієї групи.

У налаштуваннях групи вказуються права доступу до адміністративної частини модулів. Додаткові налаштування прав доступу можливі безпосередньо в модулях інфоблоків, форумів, веб-форм, опитувань, торгового каталогу, документообігу, реклами, техпідтримки.

Профайл користувача містить обов'язкову реєстраційну інформацію та необов'язкову інформаційну частину з описом особистих даних, інформації про компанію та дані для роботи з форумом. Управління всіма користувачами виконується в адміністративному розділі в меню «Користувачі».

У профайлі користувача також налаштовується до яких груп належить користувач. Можлива прив'язка одночасно до необмеженого числа груп користувачів. Від того, до якої групи належить користувач, будуть залежати його права на сайті.

Адміністратор системи безпеки може в будь-який момент отримати список користувачів, які належать до тієї чи іншої групи, і скорегувати цю інформацію при необхідності.

Розмежування прав доступу

У програмному продукті реалізована дворівнева система розмежування прав доступу:

  1. Рівень 1: доступ до файлів і каталогів

    Налаштування доступу до файлів і каталогів виконується в меню Структура сайту> Управління. Досить відзначити один або кілька каталогів або файлів і вибрати Доступ, щоб визначити які групи користувачів мають право на доступ до цих документів.

    Права доступу, призначені на каталоги, успадковуються для всіх файлів і підкаталогів, розташованих нижче. Наприклад, досить поставити на каталог/partners/ права на читання тільки для групи Partners і прибрати право на читання у групи Everyone, ніхто зі звичайних відвідувачів вже не зможе зайти в каталог, і у відвідувачів буде запрошена авторизація.

    Якщо користувач належить до кількох груп, то береться максимальне право з усіх прав доступу заданих для цих груп.

    Якщо для поточного файлу або каталогу явно не заданий рівень прав, то береться рівень прав заданий для верхніх каталогів.

  2. Рівень 2: доступ до модулів і логічних операцій в модулях

    Рівень 2 забезпечує розмежування доступу до модулів і логічних операцій в модулях.

    Якщо мова йде про звичайні статичні публічні сторінки, то до них застосовується тільки 1-й рівень доступу на файли і каталоги.

    Якщо користувач має на файл як мінімум право R ( "читання") і якщо даний файл є функціональною частиною, у якій використовуються API функції того чи іншого модуля, то перевіряється 2-й рівень прав, що задається в налаштуваннях відповідного модуля.

    На сьогоднішній день використовуються дві методології розмежування прав доступу 2-го рівня: права та ролі.

    Відмінність їх полягає в тому, що якщо користувач володіє декількома правами, то вибирається максимальне. Якщо ж користувач володіє декількома ролями, то він відповідно буде мати сумарні можливості цих ролей.

    Приклад:

    • Права. Якщо ви належите до груп, для яких в модулі "Статистика" задані права "Повний адміністративний доступ" і, наприклад, "Перегляд статистики без фінансових показників", то ви будете володіти максимальним правом - "Повний адміністративний доступ".

      Ролі. Якщо ви належите до груп, для яких в модулі "Техпідтримка" задані ролі "Клієнт техпідтримки" і "Демо-доступ", то ви одночасно будете мати можливості цих двох ролей. Тобто ви зможете бачити всі звернення в режимі демо-доступу та одночасно з цим можете створювати свої звернення як клієнт техпідтримки.

Незалежність системи контролю доступу від бізнес-логіки сторінки

Кожна сторінка сайту, створеного на базі «Бітрікс: Управління сайтом», починається включенням обов'язкового файлу заголовка. Просте включення цього файлу автоматично забезпечує роботу єдиної системи авторизації та розмежування доступу.

Система авторизації працює незалежно від бізнес-логіки розміщеної в робочому тілі сторінки. Принцип незалежності системи авторизації від виконуваної частини сторінки забезпечує гарантований захист застосунків від несанкціонованого доступу та виконання, і означає, що якщо користувач не матиме прав на доступ до сторінки, йому не вдасться обійти систему авторизації.

Всі модулі в продукті забезпечують перевірку прав доступу безпосередньо всередині модулів при зверненні до API-функцій. Таким чином, застосунки, написані з використанням API, мають ще один рівень незалежного захисту на рівні модулів і логічних операцій. І незалежність роботи системи авторизації при зверненні до функцій API забезпечує захищену розробку клієнтських застосунків і бізнес-логіки, а також зручне управління правами доступу в стандартному інтерфейсі модулів.

Можливість шифрування інформації при передачі

При роботі з адміністративним поділом або закритими розділами сайту можна організувати шифрування даних.

Шифрування даних забезпечує захист при передачі імені та пароля користувача, даних сесії, даних сторінки і інформації, розміщеної на сайті, включаючи передачу графічних файлів і будь-якої іншої інформації з сайту.

Використання алгоритмів шифрування дозволяє виключити цілий клас потенційних ризиків, пов'язаних з можливістю перехоплення інформації в каналі передачі.

Промисловим стандартом для захисту веб-додатків є SSL-шифрування в рамках протоколу HTTPS. Даний протокол підтримується всіма браузерами і не вимагає установки додаткових компонент для клієнтів.

Cистема оновлення SiteUpdate

Найважливішим інструментом в забезпеченні безпеки є технологія оперативного оновлення SiteUpdate, яка забезпечує можливість оперативного отримання і установки без технічних фахівців найостанніших оновлень програмного продукту «Бітрікс24».

Унікальна технологія SiteUpdate дозволяє без додаткових витрат завантажувати оновлення продукту і нові модулі. Дані завантажуються з сайту компанії «Бітрікс» через веб-інтерфейс адміністративного розділу продукту. Оновлення не зачіпають публічну частину сайту, повністю виключаючи втрату даних.

При завантаженні оновлень запитується ліцензійний ключ продукту. Після перевірки оновлень системи власнику пропонується обрати, які оновлення і модулі необхідно завантажити. Всі оновлення і нові модулі спочатку стискаються, а потім завантажуються на сайт власника. Компресія даних у кілька разів збільшує швидкість завантаження оновлень продукту.

Таким чином, власник продукту може підтримувати постійну актуальність системи і оперативно отримувати нові модулі.

Детальну інформацію про роботу технології оновлень можна отримати у статті Технологія SiteUpdate.

Незалежне журналювання виконуваних сторінок

Модуль веб-аналітики надає можливість аналізувати рекламні кампанії, оцінювати витрати на певний канал реклами, аналізувати відвідуваність розділів і сторінок порталу, отримувати вичерпну інформацію про відвідувачів і багато іншого. Основні можливості модуля веб-аналітики:

  • статистика відвідуваності порталу;
  • сегментація аудиторії на потоки;
  • аналіз рекламних кампаній;
  • шляхи по порталу і відрізки шляхів
  • сайти, що містять посилання на ваш сайт;
  • аналіз активності пошуковиків;
  • облік подій на порталі;
  • експорт будь-яких даних в форматі Excel.

Детальніше про модуль Веб-аналітики можна прочитати в спеціальному розділі.

Політика роботи зі змінними та зовнішніми даними

Більшість проблем і вразливостей в програмних продуктах пов'язано з неправильною обробкою змінних, що надходять з форм, або з некоректною роботою із зовнішніми файлами чи даними.

При розробці програмного продукту «Бітрікс24» розроблена методика обробки зовнішніх змінних і файлів, що надходять ззовні.

Для обробки змінних в програмному продукті реалізовані функції з підготовки змінних до безпечного використання в SQL-запитах і функціональних модулях.

Для прийому файлів від користувача реалізовані спеціальні функції класу CFile, які забезпечують безпечну обробку файлів в програмному продукті.

Така концентрація ключових ділянок коду з точки зору безпеки в єдиному місці дозволяє розробляти безпечні веб-застосунки з мінімальними зусиллями.

Дякую, допомогло! Дякуємо :) Не допомогло Дуже шкода :(
Дізнайтесь, чому:
Це не те, що я шукаю
Дуже складно і незрозуміло