Модуль бесплатный и будет автоматически загружен со следующим обновлением всем пользователям «Управления сайтом» и «Корпоративного портала», кроме пакета «Старт».

По словам Сергея Рыжикова, генерального директора «1С-Битрикс», при разработке Web-приложений безопасностью занимаются в последнюю очередь. Заказчики полагают, что Web-приложение должно быть безопасным, однако разработчики забывают реализовать то, что явно не написано в техническом задании, а заказчики не выделяют дополнительных средств для последующего тестирования получившихся Web-приложений на наличие в них уязвимостей.

Кроме того, современные сайты, как правило, состоят из нескольких отдельных фрагментов, таких как сайт, форум, электронный магазин, блоги. Каждый из них работает на своем ядре, а все вместе они не имеют единой системы защиты. «1С-Битрикс» предлагает своим партнерам, которые занимаются Web-разработкой, платформу с интегрированными в нее механизмами защиты. В частности, в Bitrix появилась дополнительная вкладка «панель безопасности», с помощью которой можно настроить все компоненты модуля «проактивная защита». Одним из основных элементов защиты сайта является Web Application Firewall, который занимается предварительной обработкой данных, полученных от пользователя. Модуль написан разработчиками «1С-Битрикс» и позволяет защитить от различных типов инъекций, фишинга, DDoS-атак и некоторых XSS-атак (Cross-Site Scripting, «нападение с помощью сценария, внедренного в сервер»).

Много внимания разработчики уделили контролю доступа к сайту легитимных пользователей. В частности, для аутентификации можно использовать одноразовые пароли, которые генерируют устройства Aladdin eToken PASS или eToken NG OTP. Предполагается, что в скором времени эти устройства аутентификации войдут в состав «старших» дистрибутивов. Кроме того, можно разрешить доступ к административным разделам CMS только из доверенных сетей и с проверенных IP-адресов.

В комплект поставки входят рекомендации по настройке всех входящих в модуль механизмов безопасности. Сама CMS ведет журнал вторжений, куда записываются все обнаруженные попытки инъекций постороннего кода, ведется запись действий пользователей, с помощью которой можно идентифицировать и заблокировать роботов.

По заверениям Рыжикова, при разработке новой версии сайта была использована процедура многоступенчатого тестирования продукта. Тесты проводили сами разработчики, бизнес-подразделения и сотрудники специального отдела безопасности. И только после того, как отдел безопасности пропустил продукт, он был передан на бета-тестирование заказчикам. Однако компания не остановилась на этом и заказала независимый аудит кода у компании Positive Technologies. К выпуску новой версии CMS компания уже получила сертификат на успешно проведенный аудит кода продуктов «Управление сайтом» и «Корпоративный портал».

Купить номер с этой статьей в PDF