08 Jan 2016

Безопасность

Особенности системы безопасности eFrontPro

eFrontPro предоставляет несколько способов защиты от различных видов атак, таких как XSS, CSRF, SQL инъекций и других, основанных на OWASP. В дополнение система предлагает несколько способов предотвращения несанкционированного доступа и нелегального изменения привилегий.

 Также для администраторов доступно несколько инструментов, чтобы настраивать уровень безопасности под организационные нужды: 

Белый/Черный список:
  1. Белый лист IP: вы можете добавить определённые IP адреса, владельцы которых могут получать доступ к системе.
  2. Черный список для загружаемых файлов: Вы можете определить типы файлов, которые пользователи не смогут загружать
Вход/Регистрация:
  1. Регистрация может быть запрещена указанным адресам электронной почты автоматически или вручную.
  2. Блокировка аккаунтов после неудачных попыток входа: Вы можете включить блокировку аккаунта после нескольких неудачных попыток авторизации. Время блокировки увеличивается после каждой блокировки.
  3. Запрет на использование одинаковых имён: Вы можете запретить использование одинаковых имён пользователей одновременно.
  4. SSO поддерживаемая через LDAP или SAML 2
Пароли:
  1. Срок действия пароля: Вы можете установить определённый срок действия пользовательских паролей
  2. Запрет на использование одинаковых паролей: Вы можете включить функцию, предотвращающую использования одинаковых паролей для разных пользователей.
  3. Длина пароля: Вы можете установить минимальную длину пароля
  4. Правила для создания пароля: Вы можете установить правила для пользовательских паролей
  5. Принудительное изменение пароля при первом входе: Вы можете установить принудительную смену пароля, в этом случае при первом входе пользователь должен сменить пароль.
  6. Пароли хранятся в зашифрованном виде
Защита от вредоносного ПО:
  1. Фильтры XSS не позволяют пользователям загружать вредоносный контент в вашу систему.
  2. Фильтры CSRF предотвращают атаки или другие нелегальные действия в пользовательских сессиях.
  3. Защита от взлома и перехвата сессий пользователей путём применений соответствующих контрмер.
  4. Действия высокой важности (например, возврат средств) требуют входа в режим “sudo”.
Отчёты и логирование:
  1. Все действия пользователей хранятся в системных логах для последующего просмотра.
  2. Системные ошибки логируются для последующего просмотра, при надобности.

SSL:

  1. eFrontPro работает с HTTPS сразу после установки.
Раскрытие системной информации:
  1. Вы можете самостоятельно предотвращать все системные ошибки (такие как ошибки PHP, SQL) прежде чем их заметит конечный пользователь.

 

Как защитить свою систему:

Ни одно приложение не может быть 100% защищено. Следующие подсказки помогут вам сохранить вашу систему в безопасности:

  1. Запретите доступ веб-серверу ко всем файлам и папкам, к которым система не должна иметь доступ. На странице «Обслуживание» приведён список этих папок и файлов.
  2. Убедитесь что система, в которой находится ваш веб-сервер и сервер базы данных всегда обновлена. Всегда используйте последнюю версию PHP и его расширений.
  3. Все пользователи с доступом администратора eFrontPro могут устанавливать прогаммы, через опцию «Плагины». Запретите это для  определённых пользователей, которым не понадобится эта функция

Возможно, вам будут интересны и эти статьи: