Коллеги, приветствую! Напомню тем кто забыл и сообщу тем кто не в курсе - у нас есть бесплатное решение Антибот, это маленький Soap-клиент, который в момент регистрации проверяет на совпадение введеных имени, фамилии, логина и email на совпадение, после чего по Soap обращается к публичному web-сервису и проверяет н числится ли в черном списке email, с которым юзер пытается зарегистрироваться. Если одна из проверок не пройдена регистрация не пройдет.
На сегодня в черном списке несколько миллионов email-адресов. В итоге использования модуля от наших проектов Боты "отстали", опросы показали, что "отстали" и от 90+% других проектов, в основном это сторонние проекты не на БУС, которые пользуются сервисом уже достаточно давно, в их числе и банковские системы, и страховые компании и корпоративные почтовые системы и т.д. На сегодня в общей сложности сервис обрабатывает более 5-ти млн запросов.
Существует еще одна проблема БРУТФОРСеры. В течение последнего года мы обкатывали стоп-лист для блокировки по IP-адресам. Обкатывали совместно с одним из банков и рядом компаний на их сайтах и почтовых серверах. Готовимся выложить это дополнение в обновлении к модулю. Суть работы аналогична - перед попыткой авторизации по событию модуль по Soap обращается к сервису, если IP есть в списке, то ни авторизоваться ни зарегистрироваться не удастся. Удобство сервиса в том, что если на одном из проектов IP-ник спалился на брутфоре и попал в стоп-лист, то на других проектах, которые так же пользуются сервисом с этим IP-ником невозможно будет ни авторизоваться ни зарегистрироваться до тех пор пока не истечет время блокировки, более того - попытка регистрации и/или авторизации до истечения времени время блокировки автоматически продлевается. Таким образом спалившийся брутфорсер не сможет пойти и брутфорсить другой проект, который использует сервис. Но тут есть нюансы: 1. Размещение в стоп-листе осуществляется при N-количестве ошибок авторизации (неверный огин или пароль); 2. Вносится на определенное время. 3. По истечении времени блокировки IP из списка удаляется, НО - после N-ного количества попаданий в стоп-лист IP-попадает в стоп-лист бессрочно.
В итоге хотелось бы услышать мнения: 1. На какое время заносить? 2. После скольких попаданий блочить бессрочно?
Количество неудачных попыток можно будет указать в настройках, так как для разных проектов это может иметь разное РАЗУМНОЕ значение. А вот на какое время заносить в стоп-лист и после скольких попаданий в стоп блочить бессрочно выношу на обсуждение. В процессе тестирования использовали 30-минутный стоп и бессрочный блок на 4-том попадании. Если есть иные разумные цифры предлагайте и аргументируйте! У пользователей модуля будет возможность удалить свой IP из стоп-листа, но об этом чуть позже...
Решение переведено с SOAP на REST-запросы. Обработка SOAP-запросов будет полностью прекращена с 01 мая 2016 года. Не забудьте установить обновления. На момент написания данного сообщения последняя стабильная версия 0.0.7.
Михайлов Андрей, на сколько я знаю нет. Наше решение уже давно проверяет пользователей не только при регистрации и авторизации, а при отправке любой формы, при попытках использования редиректов 1С-Битрикс и даже на первом хите в сессии и отрабатывает ряд других событий (форумы, инфоблоки и т.д.). В настройках модуля можно отключить ненужные функции. Кроме того, долго думали как можно использовать весь вредоносный трафик и придумали. Если раньше атакующий IP только ставился в стоп-лист, что не снижало нагрузку на сайт, и стоп-лист не решал проблему для владельцев младших редакций, то теперь можно выбрать активную реакцию - перенаправить атакующего, в этом случае модуль редиректит его на наш сервис, а сервис в свою очередь редиректит юзера на самый активный источник атак, то есть сервис по сути весь вредоносный трафик перенаправляет на источник вредоносного трафика, получается, что одни хулиганы DDos-ят самого активного хулигана)))
Задолбали меня в свое время Боты на сайтах, на всех сайтах... на своих... и на клиентских тоже... Решил проанализировать ситуацию, чтобы найти решение. Но лень - она же двигатель прогресса!!! В общем начал не просто мониторить, а собирать и систематизировать ВСЮ инфу - записывать все данные каждого бота, даты, время, проекты (на которых они регистрировались), настройки безопасности на проектах и т.д., ибо моя лень говорила мне, что на перспективе это освободит мое время от ненужных действий по контролю.
Сначала я просто удалял ботов, они снова регистрировались и подтверждали(!) по мылу свою регистрацию. Потом я начал их ДЕактивировать, Боты, которых я ДЕактивировал пытались авторизоваться, все их попытки заносились в штатный журнал событий с типом события ОШИБКА АВТОРИЗАЦИИ ПРИ СОВПАДЕНИИ ПАРЫ ЛОГИН/ПАРОЛЬ. Однако Боты с забаненными мылами предпринимали попытки регистрации с тем же мылом, все попытки заносились в штатнй журнал с типом события ОШИБКА РЕГИСТРАЦИИ и с сообщением о том, что Пользователь с таким мылом уже есть.
Спустя короткий период времени эти боты уходили, те же самые боты с новыми мылами возвращаются очень редко (не более 5% из числа ушедших), и оооочень не скоро (спустя 3-6 месяцев). Но эти же Боты щемились на другие проекты, в том числе лежащие на той же физической машине с тем же IP, но на другом домене, и даже на поддомене. Не брезговали и доменами 4-го уровня. Про проекты на других серверах, с другими IP и т.д. и вовсе говорить не приходится - шли как к себе домой.
Медленно но верно формировалась база email-адресов 100%-ных Ботов, сначала Ботов собирал исключительно со своих проектов и проектов клиентских. Набрал порядка 1000 email-ов, запустил модуль с собственной таблицей в БД на одном из своих проектов, на клиентских просто продолжал ДЕактивировать новых ботов и добавлять их мылы в базу. В течение полугода (с момента установки) на сайте, с установленным модулем проскользнуло порядка 200 новых ботов.
В общем установил модуль на всех клиентских проектах, и на каждом проекте в БД появилась таблица с 1000+ записей email-адресов Ботов, все регистрирующиеся юзеры проверялись по базе. Новых ботов добавлял в базу, обновлял её на всех проектах. Надоело! Запустил Soap-сервер, а на клиентских сайтах в init.php засунул в качестве обработчика события маленького Soap-клиента, который отправлял запрос с email-ом регистрирующегося юзера Soap-серверу. В зависимости от ответа обработчик либо разрешал регистрацию, либо прерывал её.
За 4 года база данных Soap-сервера выросла до 800 с лишним тысяч записей. Доверенных пользователи Soap-сервера кроме проверки email-ов ещё направляют инфорацию о новых Ботах. Инфа о новых Ботах ведется в отдельной базе, и как только email нового Бота отвечает всем заданным условиям - он автоматически заносится в базу подтвержденных Ботов. Сначала в базу поступало до 300 email-ов в сутки, на сегодня поступает порядка 10-15, в очень редких случаях количество сообщений о новых ботах достигает 50 (видимо при запуске новых хулиганских систем и проектов). Успешная регистрация удается 2-3 Ботам в неделю, на проектах с посещаемостью в 1-3 тыс. уникальных посетителей (проекты региональных гос.органов).
Долго колебался делать ли модуль, и если делать то на каких условиях предоставлять сервис. В общем решил выпустить бесплатный модуль. Soap-сервер тоже бесплатно обрабатывает все запросы, от любых сайтов и систем. Коммерциализация пока не планируется.
Здравствуйте сегодня при попытки авторизации на сайте начала выскакивать ошибка. Ошибка авторизации!Регистрация и авторизация с Вашего IP-адреса запрещены технологией "WACS: АнтиБот" (http://АнтиБот.РФ), пробовал VPN, пробовал бразуеры разные, даже с других IP пробовал авторизоваться, бесполезно.
Харькин Денис, добрый день! Вероятно у Вас стоит модуль оооочень старой версии ниже 2.0.0. На протяжении последних двух лет мы много раз предупреждали о прекращении поддержки модуля устаревших версий, делали много раз рассылки, обзванивали по номерам телефонов, указанным на сайтах, с которых поступают запросы к сервису, писали через формы на таких сайтах.
7го числа в связи с санкциями пришлось отказаться от дальнейшей поддержки отдельной бесплатного для РФ экземпляра сервиса, который фактически существовал за счет продаж вне России. Теперь все запросы обрабатываются единым сервисом, на котором отсутствуют устаревшие API.
Вам необходимо обновить модуль до текущей версии. Напишите мне на admin@wacs.group IP-адрес, с которого пытаетесь зайти.
Дождался выхода 12-ой версии, посмотрел, не появилось ничего нового из необходимого для того чтобы что-то изменить в ERP в лучшую сторону, поэтому решил продолжить выделение функционала ERP в отдельные модули в том виде в котором они есть и работают у меня. Первое что будет выделено это "Личный кабинет" (далее ЛК). ЛК будет представлять из себя один комплексный компонент и минимум, с визуальной точки зрения, функционала, который на самом деле значительно упростит (автоматизирует) ведение ряда рутинных функций.
Карта ЛК (рис.1)
Это своего рода карта ЛК в том виде в котором предполагается выход модуля в первоначальном варианте. Разберём по порядку.
Заказанные услуги. Для менеджера, директора компании, бухгалтера и т.д. (рис.2) Здесь выводится общий список заказов всех клиентов, наименование клиента будет ссылаться на карточку клиента с контактами и прочими данными.
На что стоит обратить внимание: 1. На странице списка заказов выводится ссылка на страницу заказов в том виде в котором видят его клиенты (в режиме клиента). 2. Исполнитель - предусмотрена возможность ведения в системе нескольких Ваших компаний, на примере видно что часть услуг оказываются ООО, а часть услуг, в т.ч. продажа БУС висят на ИП. Нумерация при этом ведётся отдельно для каждой моей компании, подключенной к ERP. 3. Выводится дата окончания оплаченного периода, за месяц до окончания дата становится красной, по истечении оплаченного периода выводится сообщения "ПРОСРОЧЕНО". Для услуг, продление которых осуществляется помесячно выводится срок просрочки, при этом системой предусмотрена возможность установки скидок при оплате за больший срок, чем месяц, но об этом ниже. 4. Кнопка "Продлить" - по нажатию на кнопку открывается форма для продления услуги вручную (указания даты активности "по"). Далее будет описание продления автоматически.
Для клиента (рис.3) Здесь выводится список заказанных услуг для текущего клиента (пользователя привязанного к клиенту).
На что стоит обратить внимание: 1. Из рисунка понятно, что в клиентском интерфейсе список услуг может быть не один, а два и более, это не значит, что клиент может увидеть чужой список, это значит, что клиенту так же предоставлена возможность добавить в системе не одну компанию, а несколько (ограничение настраивается в компоненте). У меня ряд клиентов имеют несколько своих компаний (об этом чуть ниже.) 2. Исполнитель со ссылкой на карточку Вашей компании, оказывающей данную услугу. 3. Продлить - получение счёта (ниже), при этом можно запретить получение счетов по конкретной услуге, либо для конкретного клиента, либо указать количество дней до истечения активности услуги, за которое функционал генерации счета становится активным.
Ну и собственно после нажатия на "Продлить" мы увидим...
...Получение счета клиентом (рис.4)
Здесь клиент сможет выбрать компанию, от которой он будет производить оплату. (рис.5)
Увидит наименование продлеваемой услуги, цену за базовый период, а в случае, когда в номенклатуре отмечена опция "Разрешить указание количества" на первом шаге будет поле в котором клиент сможет указать желаемый период продления, кроме того клиент увидит доступные для данной услуги скидки при оплате за несколько базовых периодов (или количественные скидки на товар).
По нажатию на кнопку "Далее" переход на страницу подтверждения, она заключительная часть генерации счёта (рис.6)
Здесь итоговая цена за базовый период времени с учётом скидки, полная сумма к оплате за указанное количество, данные клиента, которые он тут же сможет отредактировать, и данные получателя платежа.
Жмём "Далее" и получаем...
Счёт (рис.7)
в том виде, в котором отдаёт его "1С:Бухгалтерия" в типовой конфигурации. Здесь же ссылка "скачать в формате Word", выбран именно этот формат, так как модуль выделяем с такими возможностями, которые будут поддерживаться Shared-хостиингами (увы не у всех хостеров для Shared есть поддержка генерации pdf). Файлы документов не хранятся на сервере, а генерируются по запросу (нажатию на ссылку).
Для работы с документами в ЛК предусмотрены
Списки счетов Для менеджера, директора компании, бухгалтера и т.д. (рис.8) Здесь выводится общий список всех счетов по всем клиентам.
На что стоит обратить внимание: 1. На странице списка счетов выводится ссылка на страницу счетов в том виде в котором видят его клиенты (в режиме клиента). 2. В номере документа есть индекс "ERP" - устанавливается в настройках. Можно использовать, чтобы разделить нумерацию документов, при их ведении различными учётными программами (ряд услуг, по абсолютно другой деятельности, у меня до сих пор ведётся в 1С-ке). 3. Оплачен - выводится информации об оплате. а) если не оплачен выводится ссылка "оплатить" при клике выводится форма с тремя полями: "№ п/п", "Дата п/п" и "Сумма платежа", позже после подключения платёжных систем появится и динамический список платёжных систем. После ввода информации о поступившем платеже производится автоматическая установка новой даты истечения оплаченного периода заказанной услуги, на продление которой генерировался данный счет. Позже будет добавлена и проверка полноты оплаты, если общая сумма поступивших платежей по этому счёту не погашает счет, то дата активности изменяться не будет: б) если оплачен то автоматически выводится ссылка для получения документов (акт, накладная и т.д.), Предусмотрены типовые шаблоны для основной массы услуг, но к каждой услуге так же возможно загрузить специфический шаблон, например у одного из моих госов есть необходимость в подписании акта по их форме, в параметрах услуг привязанных к этому госу загружен нужный шаблон. Или например БУС продаётся не как услуга или товар, поэтому для номенклатурных позиций "1С-Битрикс" так же загружен отдельный шаблон акта передачи неисключительных прав..
Для клиента (рис.9) Здесь выводится список счетов для текущего клиента (пользователя привязанного к клиенту).
Аналогично описанию предыдущего скриншота, только: а) если не оплачен выводится ссылка "оплатить" для получения готового счёта (рис.7), в будущем при подключении платёжных систем будет возможность выбора способа оплаты, и после выбора способа будет выводится функционал оплаты либо счет для безналичного перечисления (в общем привычная логика). Так же позже будет добавлена и проверка наличия частичных оплат по счету, при наличии таковых, если общая сумма поступивших платежей по этому счёту не погашает счет, то по ссылке ОПЛАТИТЬ будет выводится информация о поступивших платежах по счету и остатке задолженности + ссылка на счёт (рис.7):
Данный пост описывает ЛК глазами клиентов и глазами менеджеров, бухгалтера и т.д. Постараюсь найти на этой неделе время и описать полный ("скрытый" от глаз юзеров) функционал и его возможности (номенклатура, ценовая политика, скидки и т.д.).
Выделение этого и других функционалов в отдельные модули для маркетплейса задача не из простых, так как всё это писалось для собственных нужд, завязаны не только студийные процессы, а так же инвестиционная составляющая, обороты по ряду других направлений деятельности, более того у меня ERP завязана с интернет-банком, ERP автоматически включает и отключает сайты при несвоевременной оплате для клиентов с которыми я работаю только по предоплате, так же работает автоматизированное предоставление услуг клиентам в кредит, автоматизирована конкурсная работа с удалёнными сотрудниками, весь жизненный цикл проекта от поступления заявки до сдачи проекта и перехода на "крейсерский режим" (так мы в шутку называем поддержку проектов). Из-за сложности и объёма работ я не могу гарантировать какие-то конкретные сроки выхода модулей, но очень хотелось бы успеть до новогодних праздников.
Заинтересованных прошу писать предложения по функционалу ЛК, так как процесс выделения функционала в модули по сути полное прочёсывание кода от и до, пожелания будут учтены и вполне возможно, что какую-то часть из них можно будет реализовать до выхода модуля в первой его версии.
Коллеги, кто заинтересован, откликнитесь! Есть два алгоритма генерации документов реализации (актов, накладных и т.д.): 1. Генерация документа на основании счета - в состав документа реализации входят только те позиции, которые есть в счете. 2. Генерация документа в составе на усмотрение менеджера - можно выбрать любые позиции из нескольких выставленных счетов.
Разумеется при выборе позиций из счетов выставленных разным клиентам будут сгенерированы документы реализации для каждого клиента свои, а не один...
Какой вариант включить в модуле? Больше склоняюсь к первому, так как второй вариант за все время только 7-ми клиентам нужно было. Позже станут доступны оба варианта, но пока будет один и надо определиться. До 5-го мая уже планируем загрузить в МП, протестировать установку на своих проектах и отправить на модерацию, поэтому жду отклика до 30-го апреля (включительно).
1. Сделайте Укр форму счета и акта 2. Добавьте возможно оплатить всеми способами что есть в БУСе а не только счет 3. Возможность клиента по услуге вести переписку и просматривать отчет по услуге 4. Сделать с компонента профессиональную версию биллинга для продажи услуг
Деруга Петр, со ядня публикации поста много изменилось, и функционал и визуальная составляющая. Обратите внимание: - модуль является очень урезанным вариантом облачного сервиса WACS24 - функционал модуля, описанного в посте всегда будет сильно отставать от функционала в облачном сервисе (минимум на полгода!) - скоро выйдет модуль для интеграции облачного сервиса WACS24 с сайтом на 1С-Битрикс
Теперь по пожеланиям:
Деруга Петр написал: 1. Сделайте Укр форму счета и акта
Напишите обращение в нашу тех.поддержку, к обращению прикрепите нужные формы в формате rtf/
Деруга Петр написал: 2. Добавьте возможно оплатить всеми способами что есть в БУСе а не только счет
Такая возможность появится сначала в модуле интеграции облачного сервиса с сайтом, и только потом в модуле "ERP: Управление заказами + Личный кабинет". Правда в самом облаке пока не планируется, так как для запуска такой возможности необходимо в настройках указывать данные для доступа к платежным системам, а нам на наших проектах эти данные не нужны!
Деруга Петр написал: 3. Возможность клиента по услуге вести переписку и просматривать отчет по услуге
В этом году в облаке будет запущен расширенный модуль тех.поддержки, в котором собственно реализовано Ваше пожелание. Однако в ERP: Управление заказами такой возможности не будет, а будет выпущен отдельный модуль расширенной поддержки, который будет тесно интегрирован с ERP: Управление заказами. Все возможности, комплекса WACS: ERP, которые можно использовать как самостоятельный функционал будут выпускаться в виде отдельных самостоятельных модулей минимум через год, после запуска функционала модуля в облачном сервисе WACS24.
Деруга Петр написал: 4. Сделать с компонента профессиональную версию биллинга для продажи услуг
Посмотрите все-таки наше облако WACS24, там все-таки немного больше, чем просто биллинг. Тем более что скоро Вы сможете интегрировать облако с сайтом, если очень заинтересованы - подключайтесь, напишите к нам в поддержку о желании ускорить выход модуля интеграции с сайтом и принимайте участие в тестировании нового модуля, кроме того Вы можете помочь нам в адаптации сервиса к Украинскому законодательству, а мы можем предложить Вам безвозмездное использование сервисов облака + возможность зарабатывать с продаж на территории Украины.
О запуске облака не объявляли, и наверное уже не будем, так как пользователи сами потянулись, и каждый пользователь подтягивает своих контрагентов.
На одном из проектов возникал необходимость собирать при регистрации дополнительную инфу (компания, телефон и т.д.). Поставили компонент "Настраиваемая регистрация", настроили все как положено, по инструкции. Проходит несколько дней и замечаем, что 70% юзеров регистрируются не указывая при этом дополнительной информации, при всем при том, что часть дополнительных полей являются обязательными для заполнения, и часть пользователей зарегистрированы по несколько раз под разными логинами и разными мылами. Начали отслеживать пути таких юзеров и выяснилось, что: 1. Если юзер со страниц Восстановления или Смены пароля перейдет по ссылке авторизация, то попадет он не на страницу с "Настраиваемой регистрацией", а на системную форму регистрации со стандартным набором полей и мы получим зарегистрированного пользователя без необходимых нам дополнительных данных. 2. Если в форме авторизации указать в качестве страницы регистрации файл с компонентом настраиваемой регистрации, то из формы авторизации ссылки на восстановление и смену пароля ведут на страницу с Настраиваемой регистрацией, где нет ни смены ни запроса пароля, в результате наши юзеры начинают регистрироваться второй, третий раз и т.д., а потом и вовсе звонить со словами: "Почему мы каждый раз должны регистрироваться на Вашем сайте, у нас скоро email-адреса кончатся" (на проекте включена проверка на уникальность мыл).
По разному перепробовали решить проблему, во всех случаях находилась ссылка на системную форму регистрации. После кастомизации всех компонент (system.auth.forgotpasswd, system.auth.changepasswd, main.register и system.auth.form) проблема была решена. Но!!! 1. Клиент, которому обещается что он самостоятельно сможет воспользоваться любым компонентом этого не умеет! 2. Разработчик тратит в разы больше времени, чем ожидается сначала. 3. Выходит, что имеющийся компонент становится бесполезным, так как его + еще три компонента приходится кастомизировать.
Ниже привожу код страницы, решающий найденные проблемы. Этот код мы разместили в файле auth.php ("системный" файл в корне сайта из демонстрационного комплекта). Обращаю внимание отдела разработки компании 1С-Битрикс - использовались только ДЕФОЛТНЫЕ компоненты!!! Используя приведенный ниже код можно доработать "Программируемую" регистрацию до действительно "Настраиваемой", и тогда не придется производить никаких лишних копирований и кастомизаций описанных в документации в качестве комментариев от Роберта Басырова.
Собственно сам код страницы готовый для вставки в auth.php:
ЗЫ: Надеюсь настанет день, когда это будет доделано, и к доработкам перетаскиваемым из проекта в проект не придется добавлять еще и эту элементарщину, которую, если по хорошему, надо делать комплексным компонентом с поддержкой Ajax.
Еще одна проблема, когда надо на одной странице выводить сразу 2 формы и авторизации и регистрации. В случае с интернет магазинами такое требуется довольно часто. Приходится изгаляться, поскольку имена стандартных инпутов у компонент авторизации и регистрации частично совпадают.
Гостева Елена, Статья давно не актуальна, было актуально до того как в настройках появилась возможность указать url настраиваемой регистрации, которая и подменяет системный умолчательный. Но на Ваш вопрос отвечу - не всегда редирект срабатывал, например если форма авторизации и регистрации вызывалась иным компонентом (форум, инфоблок при ограниченном доступе, блоги и т.д.).
А так же title... В том то и дело, что чаще всего стандартный компонент меню вполне пригоден для использования без правок в шаблоне. Стили дизайн-шаблона сайта включают переопределенные стили для меню, однако в каждом дизайн-шаблоне есть компоненты меню, в которых кроме ничего кроме проверки условия для вывода параметров и title не добавлено.
Ну реально вот то что описано в посте - это для проектов, где надо 1 раз в 3 года поправить меню (1 пункт)
Да, это безусловно так! Если меню часто меняется и не динамически, а ручками, то этот "вредный совет" ВРЕДЕН!
Может попросить битрикс, чтобы типовой шаблон поправили и в диалог редактирования меню выбор этих пунктов поставили?
Так а просили уже, и SEO-шников это больше волнует чем осталных, так как элементарный title должен быть по умолчанию! И тут даже не обязательно прямо выбор конкретных параметров - можно так же использовать множественные пары полей "параметр=значение". Кому-то это даст более широкие возможности без правок в шаблоне, например использование onclic и т.д. подключая js в дизайн-шаблоне сайта. Упрощение интеграции дизайна опять же! Разве нет?
Сергей Черепанов, что-то я идею не помню. пруфлинк? Так если просили и не делают, может модул ьв маркет от кого-то из паровозов партнёрских? Антон, Романы, Максим?..
Группы на сайте создаются не только сотрудниками «1С-Битрикс», но и партнерами компании. Поэтому мнения участников групп могут не совпадать с позицией компании «1С-Битрикс».