Дополнительная защита в diafan.CMS 5.3

21 октября 2013

Каждый дополнительный механизм защиты понижает риски взлома сайта. Не менее важно застраховаться и от случайных сбоев, потому что гораздо больше данных теряется, а не выкрадывается командами хакеров, как в кино. Новая версия diafan.CMS 5.3 содержит расширенный функционал для защиты от злоумышленников и от случайных потерь.

Есть вид сетевой атаки, получивший название «Clickjacking» (кража кликов). Злоумышленники реализуют показ сайта внутри iframe. При этом некоторые элементы страницы перекрываются прозрачными div-тэгами, содержащими обработчики нажатий. Таким способом можно от имени авторизованного пользователя выполнять практически любые действия. Например, на сайте показан «лайк» комментария или фотографии. Человек кликает, совершенно добровольно. Но с учетом Clickjacking на самом деле будет оформлена подписка, разослан спам, загружены или выгружены какие-то данные, подтвержден платеж и т.д.

Сайты, работающие на diafan.CMS 5.3 защищены от атак «Clickjacking» с помощью управления заголовком HEADER X-Frame-Options, вынесенный в настройки сайта и активированный по умолчанию.

Другая проблема связана с конфликтом многопользовательского доступа к правкам страниц. Например, Саша и Маша обновляют сайт. Саша редактировал большую статью «Российская академия наук», и в 14 часов ушел на обед, оставив статью открытой. В это время с обеда вернулась Маша, открыла на своем компьютере ту же статью, внесла несколько дополнений и сохранила. Через полчаса к своей открытой странице вернулся Саша, доделал свои правки и нажал «Сохранить». Дополнения Маши затёрлись...» Это называется отсутствием «Optimistic Locking/Optimistic Concurrency Control».

Сайты на diafan.CMS 5.3 от таких коллизий защищены. Система запоминает время последнего редактирования для каждого документа. При сохранении проверяется, не было ли создано более свежей версии. Если да, то будет показано сообщение «Документ отредактирован другим администратором. Обновите страницу».

Благодаря таким «мелочам» незаметно не только для пользователей, но и для многих администраторов сайты становятся более защищенными. Мы стремимся к тому, чтобы diafan.CMS работала именно так – в фоновом режиме повышала надежность и безопасность.

Комментарии

Зарегистрируйтесь или авторизируйтесь для того, чтобы оставить комментарий.