IPS 4.5: Улучшения безопасности

Хотя мы постоянно проверяем безопасность в Invision Community, основной выпуск, такой как 4.5, позволяет нам быть особенно активными, когда речь идет о безопасности вашего сообщества.

В этой статье описаны некоторые улучшения для повышения безопасности в Invision Community 4.5.

Обработка
паролей Обеспечение безопасности паролей вашего члена - это самый простой способ сохранить учетные записи в безопасности и не попасть в чужие руки, поэтому имеет смысл поискать способы, чтобы этого не произошло.

Invision Community уже использует сильное одностороннее хеширование при хранении паролей, что означает, что после того, как пароль сохранен в базе данных, нет возможности узнать версию в виде простого текста.

Однако при создании новой учетной записи участника через AdminCP был создан случайный пароль, который был отправлен в приветственном письме на адрес электронной почты нового участника.

Начиная с Invision Community 4.5 этого больше не происходит, и новому участнику предлагается создать новый пароль при первом посещении сообщества.

Частью ваших внутренних процедур безопасности может быть периодическая принудительная переустановка всех паролей. Invision Community 4.5 позволяет это для каждого участника или с помощью выбора фильтров для принудительного сброса сразу нескольких участников.

Это удаляет все сохраненные хэши паролей и отправляет по электронной почте затронутые участники, чтобы напомнить им, чтобы установить новый пароль.

Безопасность AdminCP
Панель управления администратора содержит самые мощные инструменты, доступные для Invision Community. Это уже очень безопасная область с отдельным входом в систему с возможностью добавления двухфакторной аутентификации в поток входа.

Частью сеансовой аутентификации был специальный ключ в URL. Несмотря на то, что у нас есть защита, предотвращающая возможность обнаружения этого специального ключа злоумышленником, теоретически маловероятно, что это может произойти с помощью ряда сложных шагов. Было дополнительное раздражение, что вы не можете делиться ссылками в рамках AdminCP с членами вашей команды из-за усиленной защиты для обеспечения безопасности URL-адресов.

Начиная с Invision Community 4.5, мы удалили специальный ключ из URL и переместили его в другое место в процессе аутентификации сеанса. Это означает, что невозможно получить специальный ключ через URL-адрес, и теперь ссылки могут передаваться другим пользователям и будут действовать после входа в систему.

Шифрование текста.
В Invision Community есть несколько областей, в которых мы используем шифрование текста, чтобы позволить нам сохранять данные в базе данных в формате, который шифруется при сохранении и расшифровывается при чтении. Это защищает вас в невероятно удаленном случае, когда ваш собственный хостинг скомпрометирован и ваша база данных загружена (разумеется, нашим клиентам из сообщества Сообщества в облаке не нужно беспокоиться об этом!)

Invision Community 4.5 улучшает это шифрование, используя встроенные методы PHP, которые обеспечивают безопасность шифрования на уровне банка.

Безопасность имеет решающее значение для успеха вашего сообщества, и мы всегда активно участвуем в повышении безопасности всего сообщества Invision.