Обработка паролей
Обеспечение безопасности пароля вашего пользователя - это самый простой способ сохранить аккаунт в безопасности и недоступности для третьих лиц, поэтому имеет смысл поискать способы, чтобы этого не произошло.
Invision Community уже использует сильное одностороннее хеширование при хранении паролей, что означает, что после того, как пароль сохранен в базе данных, нет возможности узнать его в виде простого текста.
Однако при создании нового аккаунта пользователя через админцентр создаётся случайный пароль, который отправляется в приветственном письме на адрес электронной почты нового пользователя.
Начиная с Invision Community 4.5 этого больше не происходит, и новому пользователю предлагается создать новый пароль при первом посещении сообщества.
Частью ваших внутренних нужд безопасности может быть периодическая принудительная переустановка всех паролей. Invision Community 4.5 позволяет сделать это для каждого конкретного пользователя или для отфильтрованного по некоторым параметрам списка пользователей.
Этот инструмент удаляет все сохраненные хэши паролей и отправляет по электронной почте отфильтрованным пользователям, напоминание установить новый пароль.
Безопасность админцентра
Панель управления администратора содержит самые мощные инструменты, доступные в Invision Community. Это уже очень безопасная область с возможностью добавления двухфакторной аутентификации на страницу авторизации.
Частью аутентификации в админцентр был специальный ключ в URL. Несмотря на то, что в Invision Community есть защита, предотвращающая возможность обнаружения этого специального ключа злоумышленником, теоретически маловероятно, что это может произойти с помощью ряда сложных шагов. Существовало дополнительное неудобство - вы не можете делиться ссылками на разделы админцентра с вашей командой из-за усиленной защиты для обеспечения безопасности URL-адресов.
Начиная с Invision Community 4.5, специальный ключ был удалён из URL-адреса и перемещён в другое место в процессе аутентификации сессии. Это означает, что невозможно получить специальный ключ через URL-адрес, и теперь ссылки могут передаваться другим пользователям и будут действовать после логина в систему.
Шифрование текста
В Invision Community есть несколько областей, в которых используется шифрование текста, чтобы позволить сохранять данные в базе данных в формате, который шифруется при сохранении и расшифровывается при чтении. Это защищает вас в тех случаях, когда ваш собственный хостинг может быть скомпрометирован и ваша база данных стала доступна третьим лицам.
Invision Community 4.5 улучшает это шифрование, используя встроенные методы PHP. Безопасность имеет решающее значение для успеха вашего сообщества.
Павел · · 735 просмотров