Новости



4.5: Улучшения безопасности

Разработчики постоянно следят за безопасностью Invision Community, однако в линейке 4.5 были добавлены некоторые новые функции, позволяющие улучшить безопасность вашего сообщества.

Обработка паролей

Обеспечение безопасности пароля вашего пользователя - это самый простой способ сохранить аккаунт в безопасности и недоступности для третьих лиц, поэтому имеет смысл поискать способы, чтобы этого не произошло.

Invision Community уже использует сильное одностороннее хеширование при хранении паролей, что означает, что после того, как пароль сохранен в базе данных, нет возможности узнать его в виде простого текста.

Однако при создании нового аккаунта пользователя через админцентр создаётся случайный пароль, который отправляется в приветственном письме на адрес электронной почты нового пользователя.

Начиная с Invision Community 4.5 этого больше не происходит, и новому пользователю предлагается создать новый пароль при первом посещении сообщества.

set-own-password.jpg

 

Частью ваших внутренних нужд безопасности может быть периодическая принудительная переустановка всех паролей. Invision Community 4.5 позволяет сделать это для каждого конкретного пользователя или для отфильтрованного по некоторым параметрам списка пользователей.

Password-reset.jpg

Этот инструмент удаляет все сохраненные хэши паролей и отправляет по электронной почте отфильтрованным пользователям, напоминание установить новый пароль.

email.jpg

 

Безопасность админцентра

Панель управления администратора содержит самые мощные инструменты, доступные в Invision Community. Это уже очень безопасная область с возможностью добавления двухфакторной аутентификации на страницу авторизации.

Частью аутентификации в админцентр был специальный ключ в URL. Несмотря на то, что в Invision Community есть защита, предотвращающая возможность обнаружения этого специального ключа злоумышленником, теоретически маловероятно, что это может произойти с помощью ряда сложных шагов. Существовало дополнительное неудобство - вы не можете делиться ссылками на разделы админцентра с вашей командой из-за усиленной защиты для обеспечения безопасности URL-адресов.

Начиная с Invision Community 4.5, специальный ключ был удалён из URL-адреса и перемещён в другое место в процессе аутентификации сессии. Это означает, что невозможно получить специальный ключ через URL-адрес, и теперь ссылки могут передаваться другим пользователям и будут действовать после логина в систему.

Шифрование текста

В Invision Community есть несколько областей, в которых используется шифрование текста, чтобы позволить сохранять данные в базе данных в формате, который шифруется при сохранении и расшифровывается при чтении. Это защищает вас в тех случаях, когда ваш собственный хостинг может быть скомпрометирован и ваша база данных стала доступна третьим лицам.

Invision Community 4.5 улучшает это шифрование, используя встроенные методы PHP. Безопасность имеет решающее значение для успеха вашего сообщества.

Оцените новость: 

  Report новость

Sign in to follow this  

User Feedback


There are no comments to display.



Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...