Current File : //home/bitrix/www/bitrix/modules/main/lang/ru/admin/checklist/QSEC0010.html
<p>Релизы и обновления платформы Bitrix Framework тщательно тестируются отделом информационной безопасности. Тем не менее, остаются следующие угрозы:</p>
<ul>
<li>При создании решения на базе платформы Битрикс разработчиком в коде были допущены ошибки, использовав которые злоумышленник может похитить конфиденциальную информацию и попытаться "взломать" веб-проект.</li>
<li>Пользователи веб-проекта при регистрации использовали запоминающиеся, но при этом "слабые" пароли ('123456' и т.п.), которые можно подобрать, взломав их аккаунт.</li>
<li>Администраторы веб-проекта, обладающие повышенными привилегиями, могут использовать "слабые" пароли, которые могут попытаться автоматически подобрать. Также, злоумышленник может попытаться "подслушать" пароль администратора когда тот управляет веб-решением (например, из локальной сети дома, из интернет-кафе и т.п.)</li>
<li>При нарушении конфигурации программного обеспечения злоумышленники на страницах веб-сайта могут увидеть подробные сообщения об ошибках, раскрывающие подробности внутреннего устройства веб-решения.</li>
<li>В программном обеспечении веб-сервера, базы данных и др. могут содержаться пока неизвестные и неисправленные ошибки и бреши, которыми могут захотеть воспользоваться злоумышленники.</li>
<li>и другие</li>
</ul>
<p>Очевидно, что для адекватной защиты веб-решения требуется комплексный, многоступенчатый подход, подразумевающий использование различных инструментов, работающих в унисон. Если один инструмент и "пропустит" атаку, ее могут заблокировать другие инструменты.</p>
<p>Для минимальной адекватной защиты веб-проекта от вышеперечисленных угроз, мы рекомендуем настроить конфигурацию веб-решения до достижения уровня безопасности - "Стандартный" (включен проактивный фильтр, контроль активности, повышен уровень безопасности администраторов, при регистрации используется CAPTCHA, информация о системе в случае ошибок не отображается). Для защиты от взлома сессионных данных, фишинга, дополнительной защиты административного раздела, защиты паролей, вирусов - рекомендуется достичь уровней безопасности "Высокий", "Повышенный". </p>
<ol>
<li>В разделе "Настройки > Проактивная защита > Панель безопасности" проверяем текущий уровень безопасности и, если он ниже уровня "Стандартный" - выполняем рекомендации системы до достижения уровня "Стандартный".</li>
<li>При необходимости выполняем рекомендации системы для достижения уровней безопасности "Высокий", "Повышенный".</li>
</ol>
Mini Shell