Коллеги, я подключил на нашем проекте модуль Проактивной защиты.
Сейчас модуль доступен в режиме бета-тестирования и еще не включает некоторые функции. Но тем не менее, большая часть возможностей уже реализована.
Я включил Проактивный фильр и пока не настраивал исключения для форумов, так что смотрите, код может повреждаться. Будет неудобно, настроим исключения для форумов.
Я так же включил защиту авторизованных сессий и они теперь хранятся в базе данных и меняются каждые 60 секунд. Если заметите что-то ненормальное в работе сайте - жалуйтесь пожалуйста
Сейчас модуль доступен в режиме бета-тестирования и еще не включает некоторые функции. Но тем не менее, большая часть возможностей уже реализована.
Модуль «Проактивной защиты» - целый ряд технических решений по обеспечению безопасности продукта и разработанных веб-приложений, включающий несколько уровней защиты от большинства известных атак на веб-приложения и существенно повышающий уровень безопасности интернет-проектов. «Проактивная защита» является существенным дополнением к стандартной политике безопасности продукта. Модуль включает в себя комплекс систем по защите веб-приложений: * Панель безопасности с уровнями защищенности * Проактивный фильтр (Web Application FireWall) * Технологию одноразовых паролей (OTP) * Защиту авторизованных сессий * Контроль активности * Журнал вторжений * Защиту административных разделов по IP * Стоп-листы * Контроль целостности * Рекомендации по настройке и ряд других решений |
Я включил Проактивный фильр и пока не настраивал исключения для форумов, так что смотрите, код может повреждаться. Будет неудобно, настроим исключения для форумов.
Я так же включил защиту авторизованных сессий и они теперь хранятся в базе данных и меняются каждые 60 секунд. Если заметите что-то ненормальное в работе сайте - жалуйтесь пожалуйста
Группы на сайте создаются не только сотрудниками «1С-Битрикс», но и партнерами компании. Поэтому мнения участников групп могут не совпадать с позицией компании «1С-Битрикс».
Понятно что можно ограничить активность тем самым усложнить перебор паролей но это несколько не то или самому реализовать.
Но раз есть такой модуль то там на мой взгляд просто обязан быть такой функционал:
1.ограничение попыток входа, при привышение которого учетка временно блокируется или усложняется вход (каптча, письмо на email и.т.д)
2. в случае фиксации попытки пребора писбмо админу
Поставив в Проактивной защите как рекомендуется для администраторов повышенный уровень и включи журнал вы сможете зафиксировать все ошибки перебора пароля и неправильный ввод CAPTCHA.
спасибо!
Если он отправится нормально, значит проблема отсутствует и это сообщение можно удалить.
Проверено на 2-х разных проектах.