Документация для разработчиков
Темная тема
Недоступно в редакциях: Старт

Защита редиректов


Описание

Фишинг (англ. phishing, от password — пароль и fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей (например, логинам и паролям). Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, например, от имени социальных сетей, банков, порталов. В письме часто содержится прямая ссылка на сайт, внешне не отличимая от настоящей.

Защита редиректов от фишинга осуществляется двумя методами:

  • во-первых, можно определить злонамеренный редирект по отсутствию заголовка http протокола - ссылающаяся страница.
  • во-вторых, можно подписать ссылки, генерируемые на сайте, цифровой подписью и проверять эту подпись при попытке редиректа.

Защита может заключаться в следующих вариантах действий:

  • показать пользователю предупреждение, что он будет перенаправлен на другой сайт и показать на какой именно.
  • принудительно перенаправить его на заведомо безопасный адрес. Например, главную страницу атакуемого сайта.


Закладка Защита редиректов

Включение или отключение защиты редиректов от фишинга выполняется на странице Защита редиректов от фишинга (Настройки > Проактивная защита > Защита редиректов) с помощью кнопки Включить защиту редиректов от фишинга (Выключить защиту редиректов от фишинга).

Закладка Параметры

Форма позволяет настроить параметры защиты редиректов.
Поле Описание
Методы защиты от фишинга Указываются следующие методы защиты от фишинга:
  • Проверять наличие HTTP заголовка описывающего ссылающуюся страницу - при отмеченной опции будет проверяться наличие HTTP заголовка, описывающего страницу;
  • HTTP заголовок, описывающий ссылающуюся страницу, должен содержать текущий сайт - при отмеченной опции будет проверяться наличие в HTTP заголовке записи о текущем сайте, который описывает ссылающуюся страницу;
  • Добавлять цифровую подпись к перечисленным ниже URL - при отмеченной опции к адресам, перечисленным в поле Подписываемые URLs, будет добавляться цифровая подпись.

Примечание: Начиная с версии модуля 14.0.3, для страниц в публичной части сайта с сообщениями функционала "Защита редиректов от фишинга" и "Проактивный фильтр" добавлены теги noindex и nofollow.

Примечание: Начиная с версии модуля 20.0.0 cтраница защиты от редиректов отдает HTTP-статус 404 Not Found.

Подписываемые URLs Указываются Системные и Пользовательские подписываемые URLs. Добавление полей ввода осуществляется с помощью кнопки Добавить.
Действия защиты от фишинга Задается одно из следующих действий защиты от фишинга:
  • Перенаправить на другой сайт с показом сообщения и задержкой - при отмеченной опции будет перенаправлен на другой сайт с показом соответствующего сообщения и выполнением задержки на несколько секунд. Текст сообщения задается в поле Сообщение, а период задержки пользователя – в поле Задержка.
  • Перенаправить на заданный URL - при отмеченной опци будет перенаправлен на заданный в поле URL адрес.
Занести попытку фишинга в журнал При отмеченной опции попытка фишинга через редирект будет занесена в журнал событий.



Пользовательские комментарии

Мы будем рады, если разработчики добавят свои комментарии по практическому использованию методов системы.

Для этого нужно всего лишь авторизоваться на сайте

Но помните, что Пользовательские комментарии, несмотря на модерацию, не являются официальной документацией. Ответственность за их использование несет сам пользователь.

Также Пользовательские комментарии не являются местом для обсуждения функционала. По подобным вопросам обращайтесь на форумы.
© «Битрикс», 2001-2024, «1С-Битрикс», 2024
Наверх