SlideShare una empresa de Scribd logo

I Safety 1c Bitrix

Descargar como PPTX, PDF
Ontico
Ontico
Tecnología
1 de 19
Современные способы защиты сайтов: модуль проактивной защиты Сергей Рыжиков генеральный директор компании «1С-Битрикс»
Сайты сегодня – набор запчастей Большая часть современных сайтов - набор запчастей. • низкий уровень стандартной разработки • отсутствие единой концепции безопасности • несколько аккаунтов для одного пользователя • не обновляемое ПО, особенно после модификации Разработчики интернет-приложений зачастую не задумываются о безопасности.
О безопасности сайта думают в последнюю очередь! • индивидуальные разработчики думают о безопасности сайтов в самую последнюю очередь • клиенты не готовы платить за безопасность интернет- проектов • подразумевается, что разработчик должен этим заниматься, но у него не остается ни времени, ни бюджета
Психология хакера и разработчика Психология хакера и разработчика принципиально отличаются: Как мыслит разработчик… … и как мыслит хакер Ошибки бывают у всех, даже у профессиональных разработчиков.
Хостинг часто не защищен • зачастую уровень администрирования серверов и хостинга критически низкий • редко используются системы автоматического мониторинга
Категории хакеров Студенты, ИТ специалисты начального уровня • пробуют силы на первых попавшихся сайтах • нет понимания последствий для жертвы • нет осознания юридической личной ответственности • редко зарабатывают на хакерстве как на бизнесе Профессиональные специалисты • прекрасный технический багаж • никогда не светятся в тусовках, не кривляются • делают только на заказ и только за деньги • активно работают на службы безопасности крупных компаний Обычный студент может пользоваться самыми банальными методами.
Необходима проактивная защита сайта! Проактивная защита – это комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложения на угрозы. • Аутентификация и система составных паролей • Технология защиты сессии пользователя • Проактивный фильтр защиты от атак • Активная реакция на вторжение • Контроль целостности системы • Защита от фишинга • Шифрование данных No pasaran!* * Они не пройдут!
Аутентификация. Система составных паролей Надежная аутентификация пользователя с использованием одноразовых паролей (OTP) Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. При авторизации на сайте пользователь в дополнение к паролю дописывает одноразовый пароль.
Технология защиты сессии пользователя Сессия пользователя – это ключевой объект атаки на веб-сайт с целью получения сессии авторизованного пользователя. В повышенных режимах безопасности сессия будет полностью меняться раз в несколько минут (в зависимости от настройки). Механизм хранения сессий в базе данных для исключения ошибок конфигурирования виртуального хостинга, ошибок настройки прав доступа в временным каталогам и ряда других проблем настройки операционной среды.
Проактивный фильтр защиты от атак Основан на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки. • XSS - cross site scripting (СSS) • SQL инъекции • PHP source code injection • часть атак, связанных с обходом каталогов • Экранирует приложение от наиболее активно используемых атак • Фиксирует попытки атаки в журнале • Информирует администратора о случаях вторжения
Активная реакция на вторжение Удаление опасных данных Модификация данных и исключение опасного влияния Блокировка пользователя и сессии пользователя Защита по IP-адресам административных разделов сайтов (например, только для сотрудников стационарных офисов). Защита по IP-адресам публичных страниц сайта до официального открытия проекта к публичному использованию. Ведение журнала вторжений
Контроль целостности системы Контроль целостности системы управления и страниц сайта: • Механизм расчета контрольных сумм всего проекта • Раздельное вычисление для статических страниц и кода с возможностью видеть, когда менял обычный пользователь и когда менял веб-разработчик • Пароль проверки не хранится на сайте • Файл контрольных сумм можно отдельно сохранить у себя для проверки В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.
Защита от фишинга Защита редиректов с сайта от фишинга шинг (англ. phishing, от password — пароль и fishing — рыбная ловля, выуживание) — вид интернет- мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путѐм проведения массовых рассылок электронных писем от имени популярных брендов, например, от имени социальных сетей (Facebook, Вконтакте), банков (Ситибанк, Альфа-банк), прочих сервисов (Rambler, Mail.ru). В письме часто содержит прямая ссылка на сайт, внешне не отличимый от настоящего. Оказавшись на таком сайте, пользователь может сообщить мошенникам ценную информацию, позволяющую получить доступ к аккаунтам и банковским счетам. Фишинг — одна из разновидностей социальной инженерии, основанной на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учѐтные данные, пароль и прочее. При включенной защите все ссылки с сайта через редиректы защищаются дополнительным параметром индивидуальным для сайта и для этого перехода. Внешние переходы не будут работать.
Шифрование данных Полная поддержка работы по SSL Один из ключевых вариантов обеспечения защищенности проекта – шифрование данных и сессионных значений при передаче между пользователем и сайтом. Зачастую разделяются режимы работы пользователей и администратора. Новые параметры позволят использовать несколько режимов работы с сайтом для пользователей при установленном SSL сертификате.
Групповые политики безопасности Выполняется проверка на длину пароля и на вхождение в пароль определенных групп символов (латинские буквы, цифры, знаки препинания).
Регистрация и авторизация 1) Подтверждение регистрации по email 2) Поддержка авторизации OpenID и LiveID 3) Детальная настройка CAPTCHA 4) Вывод CAPTCHA после N неуспешных авторизаций
Журнал событий В журнал заносятся события, связанные с авторизацией и регистрацией пользователей. Детально настраиваются фиксируемые события.
Официальный релиз модуля проактивной безопасности - март 2009. Модуль войдет в состав программных продуктов: • «1С-Битрикс: Управление сайтом» • «1С-Битрикс: Корпоративный портал»
Спасибо за внимание! Вопросы? Сергей Рыжиков rsv@1c-bitrix.ru www.1c-bitrix.ru

Recomendados

Стратегический план
Стратегический планСтратегический план
Стратегический планDarina14
 
Программа лояльности
Программа лояльностиПрограмма лояльности
Программа лояльностиvseneshtiak
 
стратегический план презентация
стратегический план презентациястратегический план презентация
стратегический план презентацияdacenkoff
 
Решение уравнений в натуральных
Решение уравнений в натуральныхРешение уравнений в натуральных
Решение уравнений в натуральныхNovikovaOG
 
проект
проектпроект
проектNovikovaOG
 
МЭРТ 19_04_2009 МФЦ регионы Astrakhan
МЭРТ 19_04_2009 МФЦ регионы AstrakhanМЭРТ 19_04_2009 МФЦ регионы Astrakhan
МЭРТ 19_04_2009 МФЦ регионы AstrakhanVictor Gridnev
 
современный урок математики
современный урок математикисовременный урок математики
современный урок математикиNovikovaOG
 
вклад сетевых сообществ в образование
вклад сетевых сообществ в образованиевклад сетевых сообществ в образование
вклад сетевых сообществ в образованиеNovikovaOG
 

Recomendados

Стратегический план
Стратегический планСтратегический план
Стратегический планDarina14
 
Программа лояльности
Программа лояльностиПрограмма лояльности
Программа лояльностиvseneshtiak
 
стратегический план презентация
стратегический план презентациястратегический план презентация
стратегический план презентацияdacenkoff
 
Решение уравнений в натуральных
Решение уравнений в натуральныхРешение уравнений в натуральных
Решение уравнений в натуральныхNovikovaOG
 
проект
проектпроект
проектNovikovaOG
 
МЭРТ 19_04_2009 МФЦ регионы Astrakhan
МЭРТ 19_04_2009 МФЦ регионы AstrakhanМЭРТ 19_04_2009 МФЦ регионы Astrakhan
МЭРТ 19_04_2009 МФЦ регионы AstrakhanVictor Gridnev
 
современный урок математики
современный урок математикисовременный урок математики
современный урок математикиNovikovaOG
 
вклад сетевых сообществ в образование
вклад сетевых сообществ в образованиевклад сетевых сообществ в образование
вклад сетевых сообществ в образованиеNovikovaOG
 
Winalite Health Ru
Winalite Health RuWinalite Health Ru
Winalite Health Rudanny_sh2000
 
презентация междунар форум городов побратимовцов
презентация междунар форум городов побратимовцовпрезентация междунар форум городов побратимовцов
презентация междунар форум городов побратимовцовseeeer
 
линейные и квадратные уравнения с параметрами
линейные и квадратные уравнения с параметрамилинейные и квадратные уравнения с параметрами
линейные и квадратные уравнения с параметрамиNovikovaOG
 
управление по целям слайд шоу
управление по целям слайд шоууправление по целям слайд шоу
управление по целям слайд шоуakavnezna
 
Техническое задание на разработку фирменного стиля
Техническое задание на разработку фирменного стиляТехническое задание на разработку фирменного стиля
Техническое задание на разработку фирменного стиляAlex Sulimov
 
Novokuznetck Enns A.V.
Novokuznetck Enns A.V.Novokuznetck Enns A.V.
Novokuznetck Enns A.V.enns25
 
Дисконтная система: разработка и внедрение
Дисконтная система: разработка и внедрениеДисконтная система: разработка и внедрение
Дисконтная система: разработка и внедрениеAmurzaeva
 
математика и математическое образование в современном мире
математика и математическое образование в современном мирематематика и математическое образование в современном мире
математика и математическое образование в современном миреNovikovaOG
 
концепт
концептконцепт
концептguest2483f4daa
 
Согласование интересов с помощью диаграммы Use Case
Согласование интересов с помощью диаграммы Use CaseСогласование интересов с помощью диаграммы Use Case
Согласование интересов с помощью диаграммы Use CaseDenis Beskov
 
положение о пед совете гимназии
положение о пед совете гимназииположение о пед совете гимназии
положение о пед совете гимназииpkgpkg
 
Организация навигации в интерфейсах веб-сайтов: 5 принципов
Организация навигации в интерфейсах веб-сайтов: 5 принциповОрганизация навигации в интерфейсах веб-сайтов: 5 принципов
Организация навигации в интерфейсах веб-сайтов: 5 принциповDenis Beskov
 
Root Conf 1 C Bitrix
Root Conf 1 C BitrixRoot Conf 1 C Bitrix
Root Conf 1 C BitrixLiudmila Li
 
eGov Regions Rf
eGov Regions RfeGov Regions Rf
eGov Regions RfVictor Gridnev
 
Знания для бизнеса
Знания для бизнесаЗнания для бизнеса
Знания для бизнесаAlexander Babich
 
Проект закона «О судах аксакалов» (новая редакция)
Проект закона «О судах аксакалов» (новая редакция)Проект закона «О судах аксакалов» (новая редакция)
Проект закона «О судах аксакалов» (новая редакция)akipress
 
ХМАО - "Портал государственных и муниципальных услуг – региональный компоне...
ХМАО - "Портал государственных и муниципальных услуг – региональный компоне...ХМАО - "Портал государственных и муниципальных услуг – региональный компоне...
ХМАО - "Портал государственных и муниципальных услуг – региональный компоне...Victor Gridnev
 
От универсального профиля успешного топ-менеджера к многообразию формул успеха
От универсального профиля успешного топ-менеджера к многообразию формул успехаОт универсального профиля успешного топ-менеджера к многообразию формул успеха
От универсального профиля успешного топ-менеджера к многообразию формул успехаVitaliy Mazurenko
 
инвестиции новые
инвестиции новыеинвестиции новые
инвестиции новыеtrenders
 
I Safety 1c Bitrix
I Safety 1c BitrixI Safety 1c Bitrix
I Safety 1c BitrixOntico
 
Как разработать социальную сеть, Олег Бунин
Как разработать социальную сеть, Олег БунинКак разработать социальную сеть, Олег Бунин
Как разработать социальную сеть, Олег БунинOntico
 
HighLoad Sites, Oleg Bunin
HighLoad Sites, Oleg BuninHighLoad Sites, Oleg Bunin
HighLoad Sites, Oleg BuninOntico
 

Más contenido relacionado

La actualidad más candente

Winalite Health Ru
Winalite Health RuWinalite Health Ru
Winalite Health Rudanny_sh2000
 
презентация междунар форум городов побратимовцов
презентация междунар форум городов побратимовцовпрезентация междунар форум городов побратимовцов
презентация междунар форум городов побратимовцовseeeer
 
линейные и квадратные уравнения с параметрами
линейные и квадратные уравнения с параметрамилинейные и квадратные уравнения с параметрами
линейные и квадратные уравнения с параметрамиNovikovaOG
 
управление по целям слайд шоу
управление по целям слайд шоууправление по целям слайд шоу
управление по целям слайд шоуakavnezna
 
Техническое задание на разработку фирменного стиля
Техническое задание на разработку фирменного стиляТехническое задание на разработку фирменного стиля
Техническое задание на разработку фирменного стиляAlex Sulimov
 
Novokuznetck Enns A.V.
Novokuznetck Enns A.V.Novokuznetck Enns A.V.
Novokuznetck Enns A.V.enns25
 
Дисконтная система: разработка и внедрение
Дисконтная система: разработка и внедрениеДисконтная система: разработка и внедрение
Дисконтная система: разработка и внедрениеAmurzaeva
 
математика и математическое образование в современном мире
математика и математическое образование в современном мирематематика и математическое образование в современном мире
математика и математическое образование в современном миреNovikovaOG
 
Согласование интересов с помощью диаграммы Use Case
Согласование интересов с помощью диаграммы Use CaseСогласование интересов с помощью диаграммы Use Case
Согласование интересов с помощью диаграммы Use CaseDenis Beskov
 
положение о пед совете гимназии
положение о пед совете гимназииположение о пед совете гимназии
положение о пед совете гимназииpkgpkg
 
Организация навигации в интерфейсах веб-сайтов: 5 принципов
Организация навигации в интерфейсах веб-сайтов: 5 принциповОрганизация навигации в интерфейсах веб-сайтов: 5 принципов
Организация навигации в интерфейсах веб-сайтов: 5 принциповDenis Beskov
 
Root Conf 1 C Bitrix
Root Conf 1 C BitrixRoot Conf 1 C Bitrix
Root Conf 1 C BitrixLiudmila Li
 
Знания для бизнеса
Знания для бизнесаЗнания для бизнеса
Знания для бизнесаAlexander Babich
 
Проект закона «О судах аксакалов» (новая редакция)
Проект закона «О судах аксакалов» (новая редакция)Проект закона «О судах аксакалов» (новая редакция)
Проект закона «О судах аксакалов» (новая редакция)akipress
 
ХМАО - "Портал государственных и муниципальных услуг – региональный компоне...
ХМАО - "Портал государственных и муниципальных услуг – региональный компоне...ХМАО - "Портал государственных и муниципальных услуг – региональный компоне...
ХМАО - "Портал государственных и муниципальных услуг – региональный компоне...Victor Gridnev
 
От универсального профиля успешного топ-менеджера к многообразию формул успеха
От универсального профиля успешного топ-менеджера к многообразию формул успехаОт универсального профиля успешного топ-менеджера к многообразию формул успеха
От универсального профиля успешного топ-менеджера к многообразию формул успехаVitaliy Mazurenko
 
инвестиции новые
инвестиции новыеинвестиции новые
инвестиции новыеtrenders
 

La actualidad más candente (19)

Winalite Health Ru
Winalite Health RuWinalite Health Ru
Winalite Health Ru
 
презентация междунар форум городов побратимовцов
презентация междунар форум городов побратимовцовпрезентация междунар форум городов побратимовцов
презентация междунар форум городов побратимовцов
 
линейные и квадратные уравнения с параметрами
линейные и квадратные уравнения с параметрамилинейные и квадратные уравнения с параметрами
линейные и квадратные уравнения с параметрами
 
управление по целям слайд шоу
управление по целям слайд шоууправление по целям слайд шоу
управление по целям слайд шоу
 
Техническое задание на разработку фирменного стиля
Техническое задание на разработку фирменного стиляТехническое задание на разработку фирменного стиля
Техническое задание на разработку фирменного стиля
 
Novokuznetck Enns A.V.
Novokuznetck Enns A.V.Novokuznetck Enns A.V.
Novokuznetck Enns A.V.
 
Дисконтная система: разработка и внедрение
Дисконтная система: разработка и внедрениеДисконтная система: разработка и внедрение
Дисконтная система: разработка и внедрение
 
математика и математическое образование в современном мире
математика и математическое образование в современном мирематематика и математическое образование в современном мире
математика и математическое образование в современном мире
 
концепт
концептконцепт
концепт
 
Согласование интересов с помощью диаграммы Use Case
Согласование интересов с помощью диаграммы Use CaseСогласование интересов с помощью диаграммы Use Case
Согласование интересов с помощью диаграммы Use Case
 
положение о пед совете гимназии
положение о пед совете гимназииположение о пед совете гимназии
положение о пед совете гимназии
 
Организация навигации в интерфейсах веб-сайтов: 5 принципов
Организация навигации в интерфейсах веб-сайтов: 5 принциповОрганизация навигации в интерфейсах веб-сайтов: 5 принципов
Организация навигации в интерфейсах веб-сайтов: 5 принципов
 
Root Conf 1 C Bitrix
Root Conf 1 C BitrixRoot Conf 1 C Bitrix
Root Conf 1 C Bitrix
 
eGov Regions Rf
eGov Regions RfeGov Regions Rf
eGov Regions Rf
 
Знания для бизнеса
Знания для бизнесаЗнания для бизнеса
Знания для бизнеса
 
Проект закона «О судах аксакалов» (новая редакция)
Проект закона «О судах аксакалов» (новая редакция)Проект закона «О судах аксакалов» (новая редакция)
Проект закона «О судах аксакалов» (новая редакция)
 
ХМАО - "Портал государственных и муниципальных услуг – региональный компоне...
ХМАО - "Портал государственных и муниципальных услуг – региональный компоне...ХМАО - "Портал государственных и муниципальных услуг – региональный компоне...
ХМАО - "Портал государственных и муниципальных услуг – региональный компоне...
 
От универсального профиля успешного топ-менеджера к многообразию формул успеха
От универсального профиля успешного топ-менеджера к многообразию формул успехаОт универсального профиля успешного топ-менеджера к многообразию формул успеха
От универсального профиля успешного топ-менеджера к многообразию формул успеха
 
инвестиции новые
инвестиции новыеинвестиции новые
инвестиции новые
 

Destacado

I Safety 1c Bitrix
I Safety 1c BitrixI Safety 1c Bitrix
I Safety 1c BitrixOntico
 
Как разработать социальную сеть, Олег Бунин
Как разработать социальную сеть, Олег БунинКак разработать социальную сеть, Олег Бунин
Как разработать социальную сеть, Олег БунинOntico
 
HighLoad Sites, Oleg Bunin
HighLoad Sites, Oleg BuninHighLoad Sites, Oleg Bunin
HighLoad Sites, Oleg BuninOntico
 
Innodb Scalability And New Features Hl2008 Rus
Innodb Scalability And New Features Hl2008 RusInnodb Scalability And New Features Hl2008 Rus
Innodb Scalability And New Features Hl2008 RusOntico
 
Highload sites, master-class, OK-2009
Highload sites, master-class, OK-2009Highload sites, master-class, OK-2009
Highload sites, master-class, OK-2009Ontico
 
Gmr Highload Presentation Revised
Gmr Highload Presentation RevisedGmr Highload Presentation Revised
Gmr Highload Presentation RevisedOntico
 
Встреча докладчиков HL++ 2015
Встреча докладчиков HL++ 2015Встреча докладчиков HL++ 2015
Встреча докладчиков HL++ 2015Ontico
 

Destacado (7)

I Safety 1c Bitrix
I Safety 1c BitrixI Safety 1c Bitrix
I Safety 1c Bitrix
 
Как разработать социальную сеть, Олег Бунин
Как разработать социальную сеть, Олег БунинКак разработать социальную сеть, Олег Бунин
Как разработать социальную сеть, Олег Бунин
 
HighLoad Sites, Oleg Bunin
HighLoad Sites, Oleg BuninHighLoad Sites, Oleg Bunin
HighLoad Sites, Oleg Bunin
 
Innodb Scalability And New Features Hl2008 Rus
Innodb Scalability And New Features Hl2008 RusInnodb Scalability And New Features Hl2008 Rus
Innodb Scalability And New Features Hl2008 Rus
 
Highload sites, master-class, OK-2009
Highload sites, master-class, OK-2009Highload sites, master-class, OK-2009
Highload sites, master-class, OK-2009
 
Gmr Highload Presentation Revised
Gmr Highload Presentation RevisedGmr Highload Presentation Revised
Gmr Highload Presentation Revised
 
Встреча докладчиков HL++ 2015
Встреча докладчиков HL++ 2015Встреча докладчиков HL++ 2015
Встреча докладчиков HL++ 2015
 

Más de Ontico

Риски, которые необходимо учесть при разработке сложного проекта (Олег Бунин)
Риски, которые необходимо учесть при разработке сложного проекта (Олег Бунин)Риски, которые необходимо учесть при разработке сложного проекта (Олег Бунин)
Риски, которые необходимо учесть при разработке сложного проекта (Олег Бунин)Ontico
 
Вебинар о конференции HighLoad++
Вебинар о конференции HighLoad++Вебинар о конференции HighLoad++
Вебинар о конференции HighLoad++Ontico
 
Call for papers (2014) ru
Call for papers (2014) ruCall for papers (2014) ru
Call for papers (2014) ruOntico
 
Учебный день конференции HighLoad++ 2013
Учебный день конференции HighLoad++ 2013Учебный день конференции HighLoad++ 2013
Учебный день конференции HighLoad++ 2013Ontico
 
Конференции Онтико (2011)
Конференции Онтико (2011)Конференции Онтико (2011)
Конференции Онтико (2011)Ontico
 
Программный комитет HighLoad++, 6 октября
Программный комитет HighLoad++, 6 октябряПрограммный комитет HighLoad++, 6 октября
Программный комитет HighLoad++, 6 октябряOntico
 
Конференции 2010 / описание
Конференции 2010 / описаниеКонференции 2010 / описание
Конференции 2010 / описаниеOntico
 
Онтико, 2009
Онтико, 2009Онтико, 2009
Онтико, 2009Ontico
 
Конференции 2010
Конференции 2010Конференции 2010
Конференции 2010Ontico
 
Economy of project development
Economy of project developmentEconomy of project development
Economy of project developmentOntico
 
Ok2009 Пленарка
Ok2009 ПленаркаOk2009 Пленарка
Ok2009 ПленаркаOntico
 
Wonderful World Of Mysql Storage Engines Hl2008 Rus
Wonderful World Of Mysql Storage Engines Hl2008 RusWonderful World Of Mysql Storage Engines Hl2008 Rus
Wonderful World Of Mysql Storage Engines Hl2008 RusOntico
 
Scaling Web Sites By Sharding And Replication Hl2008 Rus
Scaling Web Sites By Sharding And Replication Hl2008 RusScaling Web Sites By Sharding And Replication Hl2008 Rus
Scaling Web Sites By Sharding And Replication Hl2008 RusOntico
 
особенности построения собственной полнофункциональной Im сети
особенности построения собственной полнофункциональной Im сетиособенности построения собственной полнофункциональной Im сети
особенности построения собственной полнофункциональной Im сетиOntico
 
использование смс технологий в высоконагруженных Web проектах дмитрий булыч...
использование смс технологий в высоконагруженных Web проектах дмитрий булыч...использование смс технологий в высоконагруженных Web проектах дмитрий булыч...
использование смс технологий в высоконагруженных Web проектах дмитрий булыч...Ontico
 
архитектурные приемы онлайн игры
архитектурные приемы онлайн игрыархитектурные приемы онлайн игры
архитектурные приемы онлайн игрыOntico
 
Tupitsyn High Load
Tupitsyn High LoadTupitsyn High Load
Tupitsyn High LoadOntico
 
Spread Zaytsev3
Spread Zaytsev3Spread Zaytsev3
Spread Zaytsev3Ontico
 
Smirnov Memcached High Load 2008
Smirnov Memcached High Load 2008Smirnov Memcached High Load 2008
Smirnov Memcached High Load 2008Ontico
 
Moskva Architecture Highload
Moskva Architecture HighloadMoskva Architecture Highload
Moskva Architecture HighloadOntico
 

Más de Ontico (20)

Риски, которые необходимо учесть при разработке сложного проекта (Олег Бунин)
Риски, которые необходимо учесть при разработке сложного проекта (Олег Бунин)Риски, которые необходимо учесть при разработке сложного проекта (Олег Бунин)
Риски, которые необходимо учесть при разработке сложного проекта (Олег Бунин)
 
Вебинар о конференции HighLoad++
Вебинар о конференции HighLoad++Вебинар о конференции HighLoad++
Вебинар о конференции HighLoad++
 
Call for papers (2014) ru
Call for papers (2014) ruCall for papers (2014) ru
Call for papers (2014) ru
 
Учебный день конференции HighLoad++ 2013
Учебный день конференции HighLoad++ 2013Учебный день конференции HighLoad++ 2013
Учебный день конференции HighLoad++ 2013
 
Конференции Онтико (2011)
Конференции Онтико (2011)Конференции Онтико (2011)
Конференции Онтико (2011)
 
Программный комитет HighLoad++, 6 октября
Программный комитет HighLoad++, 6 октябряПрограммный комитет HighLoad++, 6 октября
Программный комитет HighLoad++, 6 октября
 
Конференции 2010 / описание
Конференции 2010 / описаниеКонференции 2010 / описание
Конференции 2010 / описание
 
Онтико, 2009
Онтико, 2009Онтико, 2009
Онтико, 2009
 
Конференции 2010
Конференции 2010Конференции 2010
Конференции 2010
 
Economy of project development
Economy of project developmentEconomy of project development
Economy of project development
 
Ok2009 Пленарка
Ok2009 ПленаркаOk2009 Пленарка
Ok2009 Пленарка
 
Wonderful World Of Mysql Storage Engines Hl2008 Rus
Wonderful World Of Mysql Storage Engines Hl2008 RusWonderful World Of Mysql Storage Engines Hl2008 Rus
Wonderful World Of Mysql Storage Engines Hl2008 Rus
 
Scaling Web Sites By Sharding And Replication Hl2008 Rus
Scaling Web Sites By Sharding And Replication Hl2008 RusScaling Web Sites By Sharding And Replication Hl2008 Rus
Scaling Web Sites By Sharding And Replication Hl2008 Rus
 
особенности построения собственной полнофункциональной Im сети
особенности построения собственной полнофункциональной Im сетиособенности построения собственной полнофункциональной Im сети
особенности построения собственной полнофункциональной Im сети
 
использование смс технологий в высоконагруженных Web проектах дмитрий булыч...
использование смс технологий в высоконагруженных Web проектах дмитрий булыч...использование смс технологий в высоконагруженных Web проектах дмитрий булыч...
использование смс технологий в высоконагруженных Web проектах дмитрий булыч...
 
архитектурные приемы онлайн игры
архитектурные приемы онлайн игрыархитектурные приемы онлайн игры
архитектурные приемы онлайн игры
 
Tupitsyn High Load
Tupitsyn High LoadTupitsyn High Load
Tupitsyn High Load
 
Spread Zaytsev3
Spread Zaytsev3Spread Zaytsev3
Spread Zaytsev3
 
Smirnov Memcached High Load 2008
Smirnov Memcached High Load 2008Smirnov Memcached High Load 2008
Smirnov Memcached High Load 2008
 
Moskva Architecture Highload
Moskva Architecture HighloadMoskva Architecture Highload
Moskva Architecture Highload
 

I Safety 1c Bitrix

  • 1. Современные способы защиты сайтов: модуль проактивной защиты Сергей Рыжиков генеральный директор компании «1С-Битрикс»
  • 2. Сайты сегодня – набор запчастей Большая часть современных сайтов - набор запчастей. • низкий уровень стандартной разработки • отсутствие единой концепции безопасности • несколько аккаунтов для одного пользователя • не обновляемое ПО, особенно после модификации Разработчики интернет-приложений зачастую не задумываются о безопасности.
  • 3. О безопасности сайта думают в последнюю очередь! • индивидуальные разработчики думают о безопасности сайтов в самую последнюю очередь • клиенты не готовы платить за безопасность интернет- проектов • подразумевается, что разработчик должен этим заниматься, но у него не остается ни времени, ни бюджета
  • 4. Психология хакера и разработчика Психология хакера и разработчика принципиально отличаются: Как мыслит разработчик… … и как мыслит хакер Ошибки бывают у всех, даже у профессиональных разработчиков.
  • 5. Хостинг часто не защищен • зачастую уровень администрирования серверов и хостинга критически низкий • редко используются системы автоматического мониторинга
  • 6. Категории хакеров Студенты, ИТ специалисты начального уровня • пробуют силы на первых попавшихся сайтах • нет понимания последствий для жертвы • нет осознания юридической личной ответственности • редко зарабатывают на хакерстве как на бизнесе Профессиональные специалисты • прекрасный технический багаж • никогда не светятся в тусовках, не кривляются • делают только на заказ и только за деньги • активно работают на службы безопасности крупных компаний Обычный студент может пользоваться самыми банальными методами.
  • 7. Необходима проактивная защита сайта! Проактивная защита – это комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложения на угрозы. • Аутентификация и система составных паролей • Технология защиты сессии пользователя • Проактивный фильтр защиты от атак • Активная реакция на вторжение • Контроль целостности системы • Защита от фишинга • Шифрование данных No pasaran!* * Они не пройдут!
  • 8. Аутентификация. Система составных паролей Надежная аутентификация пользователя с использованием одноразовых паролей (OTP) Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. При авторизации на сайте пользователь в дополнение к паролю дописывает одноразовый пароль.
  • 9. Технология защиты сессии пользователя Сессия пользователя – это ключевой объект атаки на веб-сайт с целью получения сессии авторизованного пользователя. В повышенных режимах безопасности сессия будет полностью меняться раз в несколько минут (в зависимости от настройки). Механизм хранения сессий в базе данных для исключения ошибок конфигурирования виртуального хостинга, ошибок настройки прав доступа в временным каталогам и ряда других проблем настройки операционной среды.
  • 10. Проактивный фильтр защиты от атак Основан на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки. • XSS - cross site scripting (СSS) • SQL инъекции • PHP source code injection • часть атак, связанных с обходом каталогов • Экранирует приложение от наиболее активно используемых атак • Фиксирует попытки атаки в журнале • Информирует администратора о случаях вторжения
  • 11. Активная реакция на вторжение Удаление опасных данных Модификация данных и исключение опасного влияния Блокировка пользователя и сессии пользователя Защита по IP-адресам административных разделов сайтов (например, только для сотрудников стационарных офисов). Защита по IP-адресам публичных страниц сайта до официального открытия проекта к публичному использованию. Ведение журнала вторжений
  • 12. Контроль целостности системы Контроль целостности системы управления и страниц сайта: • Механизм расчета контрольных сумм всего проекта • Раздельное вычисление для статических страниц и кода с возможностью видеть, когда менял обычный пользователь и когда менял веб-разработчик • Пароль проверки не хранится на сайте • Файл контрольных сумм можно отдельно сохранить у себя для проверки В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.
  • 13. Защита от фишинга Защита редиректов с сайта от фишинга шинг (англ. phishing, от password — пароль и fishing — рыбная ловля, выуживание) — вид интернет- мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путѐм проведения массовых рассылок электронных писем от имени популярных брендов, например, от имени социальных сетей (Facebook, Вконтакте), банков (Ситибанк, Альфа-банк), прочих сервисов (Rambler, Mail.ru). В письме часто содержит прямая ссылка на сайт, внешне не отличимый от настоящего. Оказавшись на таком сайте, пользователь может сообщить мошенникам ценную информацию, позволяющую получить доступ к аккаунтам и банковским счетам. Фишинг — одна из разновидностей социальной инженерии, основанной на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учѐтные данные, пароль и прочее. При включенной защите все ссылки с сайта через редиректы защищаются дополнительным параметром индивидуальным для сайта и для этого перехода. Внешние переходы не будут работать.
  • 14. Шифрование данных Полная поддержка работы по SSL Один из ключевых вариантов обеспечения защищенности проекта – шифрование данных и сессионных значений при передаче между пользователем и сайтом. Зачастую разделяются режимы работы пользователей и администратора. Новые параметры позволят использовать несколько режимов работы с сайтом для пользователей при установленном SSL сертификате.
  • 15. Групповые политики безопасности Выполняется проверка на длину пароля и на вхождение в пароль определенных групп символов (латинские буквы, цифры, знаки препинания).
  • 16. Регистрация и авторизация 1) Подтверждение регистрации по email 2) Поддержка авторизации OpenID и LiveID 3) Детальная настройка CAPTCHA 4) Вывод CAPTCHA после N неуспешных авторизаций
  • 17. Журнал событий В журнал заносятся события, связанные с авторизацией и регистрацией пользователей. Детально настраиваются фиксируемые события.
  • 18. Официальный релиз модуля проактивной безопасности - март 2009. Модуль войдет в состав программных продуктов: • «1С-Битрикс: Управление сайтом» • «1С-Битрикс: Корпоративный портал»
  • 19. Спасибо за внимание! Вопросы? Сергей Рыжиков rsv@1c-bitrix.ru www.1c-bitrix.ru