Invision byte

4.5: Улучшения безопасности

Разработчики постоянно следят за безопасностью Invision Community, однако в линейке 4.5 были добавлены некоторые новые функции, позволяющие улучшить безопасность вашего сообщества.

Обработка паролей

Обеспечение безопасности пароля вашего пользователя - это самый простой способ сохранить аккаунт в безопасности и недоступности для третьих лиц, поэтому имеет смысл поискать способы, чтобы этого не произошло.

Invision Community уже использует сильное одностороннее хеширование при хранении паролей, что означает, что после того, как пароль сохранен в базе данных, нет возможности узнать его в виде простого текста.

Однако при создании нового аккаунта пользователя через админцентр создаётся случайный пароль, который отправляется в приветственном письме на адрес электронной почты нового пользователя.

Начиная с Invision Community 4.5 этого больше не происходит, и новому пользователю предлагается создать новый пароль при первом посещении сообщества.

set-own-password.jpg

 

Частью ваших внутренних нужд безопасности может быть периодическая принудительная переустановка всех паролей. Invision Community 4.5 позволяет сделать это для каждого конкретного пользователя или для отфильтрованного по некоторым параметрам списка пользователей.

Password-reset.jpg

Этот инструмент удаляет все сохраненные хэши паролей и отправляет по электронной почте отфильтрованным пользователям, напоминание установить новый пароль.

email.jpg

 

Безопасность админцентра

Панель управления администратора содержит самые мощные инструменты, доступные в Invision Community. Это уже очень безопасная область с возможностью добавления двухфакторной аутентификации на страницу авторизации.

Частью аутентификации в админцентр был специальный ключ в URL. Несмотря на то, что в Invision Community есть защита, предотвращающая возможность обнаружения этого специального ключа злоумышленником, теоретически маловероятно, что это может произойти с помощью ряда сложных шагов. Существовало дополнительное неудобство - вы не можете делиться ссылками на разделы админцентра с вашей командой из-за усиленной защиты для обеспечения безопасности URL-адресов.

Начиная с Invision Community 4.5, специальный ключ был удалён из URL-адреса и перемещён в другое место в процессе аутентификации сессии. Это означает, что невозможно получить специальный ключ через URL-адрес, и теперь ссылки могут передаваться другим пользователям и будут действовать после логина в систему.

Шифрование текста

В Invision Community есть несколько областей, в которых используется шифрование текста, чтобы позволить сохранять данные в базе данных в формате, который шифруется при сохранении и расшифровывается при чтении. Это защищает вас в тех случаях, когда ваш собственный хостинг может быть скомпрометирован и ваша база данных стала доступна третьим лицам.

Invision Community 4.5 улучшает это шифрование, используя встроенные методы PHP. Безопасность имеет решающее значение для успеха вашего сообщества.

Оцените новость: 
Подписчики 0

Обратная связь


Комментариев нет



Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Добавить комментарий...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...

×
×
  • Создать...