
08 Jan 2016
Безопасность
Особенности системы безопасности eFrontPro
eFrontPro предоставляет несколько способов защиты от различных видов атак, таких как XSS, CSRF, SQL инъекций и других, основанных на OWASP. В дополнение система предлагает несколько способов предотвращения несанкционированного доступа и нелегального изменения привилегий.
Также для администраторов доступно несколько инструментов, чтобы настраивать уровень безопасности под организационные нужды:
Белый/Черный список:
- Белый лист IP: вы можете добавить определённые IP адреса, владельцы которых могут получать доступ к системе.
- Черный список для загружаемых файлов: Вы можете определить типы файлов, которые пользователи не смогут загружать
Вход/Регистрация:
- Регистрация может быть запрещена указанным адресам электронной почты автоматически или вручную.
- Блокировка аккаунтов после неудачных попыток входа: Вы можете включить блокировку аккаунта после нескольких неудачных попыток авторизации. Время блокировки увеличивается после каждой блокировки.
- Запрет на использование одинаковых имён: Вы можете запретить использование одинаковых имён пользователей одновременно.
- SSO поддерживаемая через LDAP или SAML 2
Пароли:
- Срок действия пароля: Вы можете установить определённый срок действия пользовательских паролей
- Запрет на использование одинаковых паролей: Вы можете включить функцию, предотвращающую использования одинаковых паролей для разных пользователей.
- Длина пароля: Вы можете установить минимальную длину пароля
- Правила для создания пароля: Вы можете установить правила для пользовательских паролей
- Принудительное изменение пароля при первом входе: Вы можете установить принудительную смену пароля, в этом случае при первом входе пользователь должен сменить пароль.
- Пароли хранятся в зашифрованном виде
Защита от вредоносного ПО:
- Фильтры XSS не позволяют пользователям загружать вредоносный контент в вашу систему.
- Фильтры CSRF предотвращают атаки или другие нелегальные действия в пользовательских сессиях.
- Защита от взлома и перехвата сессий пользователей путём применений соответствующих контрмер.
- Действия высокой важности (например, возврат средств) требуют входа в режим “sudo”.
Отчёты и логирование:
- Все действия пользователей хранятся в системных логах для последующего просмотра.
- Системные ошибки логируются для последующего просмотра, при надобности.
SSL:
- eFrontPro работает с HTTPS сразу после установки.
Раскрытие системной информации:
- Вы можете самостоятельно предотвращать все системные ошибки (такие как ошибки PHP, SQL) прежде чем их заметит конечный пользователь.
Как защитить свою систему:
Ни одно приложение не может быть 100% защищено. Следующие подсказки помогут вам сохранить вашу систему в безопасности:
- Запретите доступ веб-серверу ко всем файлам и папкам, к которым система не должна иметь доступ. На странице «Обслуживание» приведён список этих папок и файлов.
- Убедитесь что система, в которой находится ваш веб-сервер и сервер базы данных всегда обновлена. Всегда используйте последнюю версию PHP и его расширений.
- Все пользователи с доступом администратора eFrontPro могут устанавливать прогаммы, через опцию «Плагины». Запретите это для определённых пользователей, которым не понадобится эта функция