Я планирую опубликовать серию сообщений в блоге с рассказом о самом интересном, что появилось в новой версии продукта. Сейчас вы можете почитать на сайте .
В этом сообщении я расскажу о новом модуле "" и о том, что принципиально меняется с появлением этого модуля.
Я так давно искал пути создания инструмента, который помог бы нам принципиально усилить безопасность веб-приложений, разработанных клиентами. И "Проактивная защита" стала продолжением многолетней работы компании поиску решений и обеспечению безопасности интернет-проектов. Пожалуй, впервые нам удалось настолько существенно усилить защищенность сайтов и снизить зависимость клиентов от наиболее частых ошибок веб-разработчиков.
"Проактивная защита" - это принципиально новый подход к концепции веб-безопасности, при котором меняется само понятие реакции веб-приложения на попытки вторжения. Новый модуль "Проактивная защита" включает в себя:
* Проактивный фильтр (Web Application Firewall), обеспечивающий защиту от большинства известных атак на веб-приложения. Проактивный фильтр распознает опасные угрозы и блокирует вторжения на сайт. Это наиболее эффективный способ защиты от возможных ошибок, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других);
* технологию одноразовых паролей (One Time Password - OTP) реализована на базе электронных ключей Aladdin eToken PASS для обеспеч аутентиф польз-ля при доступе на сайт, которая позволяет быть однозначно уверенным, что на сайте авторизуется именно тот человек, которому выдали брелок;
* панель безопасности с оценкой уровней безопасности веб-проекта;
* защиту авторизованных сессий с хранением сессий в базе данных и регулярной сменой идентификатора, привязкой к IP;
* контроль активности, который позволяет защититься от ряда категорий DDoS атак на веб-приложение и выделить автоматизированные скрипты и заблокировать их работу на установленное время;
* журнал вторжений, в котором ведется запись попыток внедрения SQL, атак через XSS и внедрения PHP;
* защиту административных разделов по IP с простым интерфейсом, который позволяет указать список IP-адресов или диапазоны адресов, с которых можно управлять сайтом;
* стоп-листы для блокировки доступа пользователей к сайту;
* контроль целостности, который проверяет скрипт контроля целостности системы на наличие изменений;
* Шифрование канала передачи через SSL
* рекомендации по настройке системы безопасности.
Новый модуль "Проактивная защита" включен во все редакции продуктов "1С-Битрикс: Управление сайтом", кроме редакции "Старт"), а также в продукт "1С-Битрикс: Корпоративный портал". Для клиентов модуль уже доступен через систему обновлений .
Я рекомендую клиентам и партнерам обновить сайты и установить себе Стандартный или Высокий уровень безопасности.
Прежде чем рассказать подробнее о возможностях модуля, несколько слов о проблематике и истории развития вопроса.
Фото:
