Курс: Администратор сервиса Битрикс24 (коробочная версия)
Администратор сервиса Битрикс24 (коробочная версия)
Описание курса
Самая первая глава
Основные сведения о системе
Основы администрирования
Администратор КП
Администратор системы
Примеры решения типовых задач
Об интеграции с 1С
Нагрузочное тестирование
Технические моменты
Тесты (7)
Основы администрирования
Мастер очистки данных
Настройка DNS для домена портала
Административный раздел
Информация на портале и работа с ней
Пользователи и авторизация
Управление доступом
Резервное копирование
Работа с инфоблоками
Работа с Инструментами
Визуальный редактор
Безопасность сайта
Управление интерфейсом
Рейтинги
Смайлы и агенты
Дисковое пространство
Настройка поиска документов
Пользователи и авторизация
Регистрация и разграничение прав
Работа с учетными записями пользователей
Группы пользователей
Типовые роли пользователей сайта
Импорт пользователей
Безопасная авторизация
Контроль слабых паролей
Аутентификация по QR-коду
Если пропадает авторизация пользователя
Примеры настройки прав пользователей
Как восстановить доступ администратора на сайт
CAPTCHA
Проверьте себя
Практические задания
Безопасная авторизация

Безопасная авторизация

Урок 57 из 741
Автор: Роберт Басыров
Сложность урока:
1 уровень - интуитивно все понятно из интерфейса, но почитать стоит.
1 из 5
Просмотров: 92317
Дата изменения: 21.10.2024
Недоступно в лицензиях:
Текущую редакцию Вашего 1С-Битрикс можно просмотреть на странице Обновление платформы (Marketplace > Обновление платформы).
Ограничений нет

  Штатный инструмент безопасной авторизации

Пароли для большинства сайтов передаются в открытом виде, если не используется SSL SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, который подразумевает более безопасную связь. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений.

Подробнее... . Отказ от использования SSL связан в большинстве случаев с административным фактором. Тем не менее проблему передачи паролей и логинов в открытом виде надо решать. Это можно сделать с помощью штатной функции Безопасная авторизация.

Безопасная авторизация - функция, обеспечивающая зашифрованную передачу пароля пользователя. Пароли пользователей хешируются по алгоритму SHA-512, но шифрование пароля не является заменой SSL. Безопасная авторизация защищает от перехвата пароля только при прослушивании трафика. Требует дополнительных подключенных библиотек.

Если у злоумышленника есть возможность изменять трафик, то шифрование не поможет. При разработке функции исходили из того, что изменить трафик сложнее, чем прослушать его (тот же открытый WiFi). Более того, шифрование паролей не защищает от перехвата сессии, но у сессии есть свои механизмы защиты (привязка к IP, частое изменение кода сессии). В целом можно сказать, что уровень защиты повысился, но лучше использовать SSL.

Безопасная авторизация работает в компоненте system.auth.authorize, при входе в Административную часть системы этот механизм защиты не включается. Поэтому, всё же вендор Вендор - это компания, которая разрабатывает и владеет неким ПО, и которая продает лицензии на него другим.
Вендор у "1С-Битрикс: Управление сайтом" и "Битрикс24 в коробке" единый: компания "1С:Битрикс".

Подробнее ... рекомендует настройку HTTPS соединения Перевод сайта на работу по протоколу https обеспечивает защиту от атак, основанных на прослушивании сетевого соединения. Действия по такому переводу не сложны, но требуют определённых знаний.

Подробнее ... .

  Подключение

Подключается Безопасная авторизация в настройках Главного модуля на закладке Авторизация:

Примечание: После установки флажка в чекбоксе перед генерацией ключа обязательно нажмите на кнопку Применить, сохраняющую настройки модуля. Без этого генерации ключа не произойдет.

По нажатию на Сгенерировать ключ происходит генерация ключа RSA RSA (буквенная аббревиатура от фамилий Rivest, Shamir и Adleman) — криптографический алгоритм с открытым ключом. .

Размер ключа зависит от библиотек, установленных на сервере. По умолчанию используется модуль PHP openssl, который создаёт 1024-битный ключ. Его и рекомендуется использовать. Если модуль не установлен, то возможно использование bcmath с генерацией 512-битного ключа. Если нет ни того, ни другого модуля, включить шифрование нельзя.

Генерация ключа выполняется один раз. Повторную генерацию производить необходимо, если есть подозрения в компрометации ключа.

Внимание! На браузерах клиентских компьютеров должно быть разрешено использование Javascript.

  Алгоритм работы

  1. Вместе с формой авторизации клиенту передается открытый ключ;
  2. Перед отправкой формы авторизации Javascript перехватывает отправку, зашифровывает пароль с использованием открытого ключа и отправляет на сервер;
  3. Сервер принимает шифротекст, расшифровывает его с использованием секретного ключа и проводит аутентификацию пользователя.

Нам жаль это слышать… Но мы постараемся быть лучше!

Мы благодарны Вам за помощь в улучшении документации.

Спасибо, мы рады что смогли помочь Вам. Ниже Вы можете оставить свой отзыв или пожелание :)
Мы стараемся сделать документацию понятнее и доступнее,
и Ваше мнение важно для нас
Наверх
Курсы разработаны в компании «1С-Битрикс»