Jump to content
IPS Invision Community
  • qwert
    qwert

    IPS 4.5: Улучшения безопасности

    Sign in to follow this  

    Хотя мы постоянно проверяем безопасность в Invision Community, основной выпуск, такой как 4.5, позволяет нам быть особенно активными, когда речь идет о безопасности вашего сообщества.

    В этой статье описаны некоторые улучшения для повышения безопасности в Invision Community 4.5.

    Обработка
    паролей Обеспечение безопасности паролей вашего члена - это самый простой способ сохранить учетные записи в безопасности и не попасть в чужие руки, поэтому имеет смысл поискать способы, чтобы этого не произошло.

    Invision Community уже использует сильное одностороннее хеширование при хранении паролей, что означает, что после того, как пароль сохранен в базе данных, нет возможности узнать версию в виде простого текста.

    Однако при создании новой учетной записи участника через AdminCP был создан случайный пароль, который был отправлен в приветственном письме на адрес электронной почты нового участника.

    Начиная с Invision Community 4.5 этого больше не происходит, и новому участнику предлагается создать новый пароль при первом посещении сообщества.

    set-own-password.jpg

    Частью ваших внутренних процедур безопасности может быть периодическая принудительная переустановка всех паролей. Invision Community 4.5 позволяет это для каждого участника или с помощью выбора фильтров для принудительного сброса сразу нескольких участников.

    Password-reset.jpg

    Это удаляет все сохраненные хэши паролей и отправляет по электронной почте затронутые участники, чтобы напомнить им, чтобы установить новый пароль.

    email.jpg

    Безопасность AdminCP
    Панель управления администратора содержит самые мощные инструменты, доступные для Invision Community. Это уже очень безопасная область с отдельным входом в систему с возможностью добавления двухфакторной аутентификации в поток входа.

    Частью сеансовой аутентификации был специальный ключ в URL. Несмотря на то, что у нас есть защита, предотвращающая возможность обнаружения этого специального ключа злоумышленником, теоретически маловероятно, что это может произойти с помощью ряда сложных шагов. Было дополнительное раздражение, что вы не можете делиться ссылками в рамках AdminCP с членами вашей команды из-за усиленной защиты для обеспечения безопасности URL-адресов.

    Начиная с Invision Community 4.5, мы удалили специальный ключ из URL и переместили его в другое место в процессе аутентификации сеанса. Это означает, что невозможно получить специальный ключ через URL-адрес, и теперь ссылки могут передаваться другим пользователям и будут действовать после входа в систему.

    Шифрование текста.
    В Invision Community есть несколько областей, в которых мы используем шифрование текста, чтобы позволить нам сохранять данные в базе данных в формате, который шифруется при сохранении и расшифровывается при чтении. Это защищает вас в невероятно удаленном случае, когда ваш собственный хостинг скомпрометирован и ваша база данных загружена (разумеется, нашим клиентам из сообщества Сообщества в облаке не нужно беспокоиться об этом!)

    Invision Community 4.5 улучшает это шифрование, используя встроенные методы PHP, которые обеспечивают безопасность шифрования на уровне банка.

    Безопасность имеет решающее значение для успеха вашего сообщества, и мы всегда активно участвуем в повышении безопасности всего сообщества Invision.

    • Нравится 3
    Sign in to follow this  


    User Feedback

    Recommended Comments

    There are no comments to display.



    Create an account or sign in to comment

    You need to be a member in order to leave a comment

    Create an account

    Sign up for a new account in our community. It's easy!

    Register a new account

    Sign in

    Already have an account? Sign in here.

    Sign In Now

×
×
  • Create New...
Вверх