• dom
  •  > 
  • Pulpit, pulpit
  •  > 
  • Ochrona przed automatyczną rejestracją. Organizacyjne środki ochrony

Ochrona przed automatyczną rejestracją. Organizacyjne środki ochrony

A ja przedstawię wam jeden z niezbędnych wtyczki(rozszerzenia), a mianowicie środek do ochrona Twojej witryny przed spamem. Konkretnie, porozmawiamy O Wtyczka KeyCAPTCHA.

Wiadomo, że obecnie spam(nieautoryzowane wysyłanie e-maili, komentarzy na stronach internetowych, czy postów na forach niezwiązanych z tematem dyskusji, które mają głównie charakter reklamowy) oraz automatyczna rejestracja na stronach i forach rozpowszechniły się tak bardzo, że stały się epidemia. Co więcej, tę pracę powierzono specjalnie opracowanym programom - botom.

Zaprojektowany, aby przed tym chronić specjalne środki, co pozwala na wyeliminowanie takich botów i upewnienie się, że działania są wykonywane prawdziwy mężczyzna, nie automatyczne. Oczywiście hakerzy starają się poprawić inteligencję botów i zawsze toczy się swego rodzaju rywalizacja – kto wygra.

Jednym z takich narzędzi jest (captcha). Jest to skrót od angielskich słów „Completely Automatic Public Turing Test to Tell Computers and Humans Apart” – przetłumaczony jako w pełni automatyczny test Turinga umożliwiający rozróżnienie komputerów od ludzi. Innymi słowy, jest to problem, który może zostać łatwo rozwiązany przez człowieka, ale którego rozwiązania nie da się (lub jest niezwykle trudno) nauczyć komputer.

CAPTCHA służy do zapobiegania wielokrotnym automatycznym rejestracjom i wiadomościom od robotów. Oznacza to, że zadaniem CAPTCHA jest ochrona przed spamem, zalaniem i przejęciem konta.

Najczęściej CAPTCHA wygląda na zakłócony w ten czy inny sposób Liczba losowa, słowo lub inny napis przedstawiony w formie obrazka, który użytkownik musi przeczytać i wpisać wynik odczytu, np. standardową captcha w Joomla.

Obecnie jednym z najnowszych i najtrudniejszych do uniknięcia botów jest podłącz Jest przeznaczony dla kilku najpopularniejszych (CMS), takich jak Joomla, Drupal, WordPress i silniki forów vBulletin, SMF, IPB, phpBB i inne strony PHP.

Jak wspomniano, captcha zwykle opiera się na zniekształconym zgadywaniu znaki tekstowe, prezentowany dodatkowo nie za pomocą tekstu, ale obrazu. Natomiast KeyCAPTCHA oferuje odwiedzającemu wykonaj proste, interaktywne zadanie. Albo składając obrazek z fragmentów (łamigłówka), albo znajdując parę obrazków na podstawie tematu.

To wygląda tak:

Na Nie dobra decyzja KeyCAPTCHA nie odświeża strony, co pozwala użytkownikowi nie wypełniać ponownie pól formularza. Osiąga się to poprzez wysłanie żądania weryfikacji captcha do serwerów KeyCAPTCHA przed przesłaniem wypełnionego formularza na chroniony serwer internetowy.

Od tego czasu kolekcjonowanie obrazu nie jest trudne Nie jest wymagana absolutna precyzja montażu, wystarczy zebrać w przybliżeniu poprawnie.

Niezawodność pracę zapewniają następujące środki.

  1. Do obsługi usługi KeyCAPTCHA wykorzystywany jest geoklaster, w skład którego wchodzą serwery zlokalizowane w różnych centrach danych w Europie. Część serwerów znajduje się w specjalnych, odpornych na DDoS centrach danych w Szwajcarii, co zapewnia niezawodne działanie usługa 24x7x365.
  2. KeyCAPTCHA blokuje spamerów, którzy korzystają z mechanizmów anonimizujących lub anonimowych serwerów proxy HTTP w celu ręcznego wysyłania spamu.
  3. W przeglądarce odwiedzającego brakuje informacji o prawidłowym rozwiązaniu captcha.
  4. Zadanie zostało poprawnie zweryfikowane na serwerze KeyCAPTCHA.
  5. Cała transmisja danych pomiędzy Twoim serwerem internetowym, przeglądarką internetową osoby odwiedzającej i serwerem KeyCAPTCHA jest chroniona podpisem cyfrowym.
  6. Każda wiadomość otrzymana na serwerze KeyCAPTCHA lub na Twoim serwerze WWW jest sprawdzana pod kątem poprawności podpisu cyfrowego.
  7. Podczas generowania podpisu cyfrowego stosowane jest hasło o zmiennej długości (112-165 bitów).
  8. KeyCAPTCHA jest kod programu, wykonywany w przeglądarce internetowej odwiedzającego, a nie statyczny obraz, jak w przypadku zwykłych captcha.
  9. Gdy otrzymamy naszą captcha, nie można jej przekazać osobom trzecim w celu wykonania zadania, tak jak robią to spamerzy, omijając zwykłe captcha.
  10. Prawdopodobieństwo odgadnięcia odpowiedzi poprzez losowe rozmieszczenie poruszających się obiektów wynosi 1/30 000 000.
  11. Obrazy użyte w captcha są przesyłane w formie zaszyfrowanej.

KeyCAPTCHA obsługuje dwa tryby pracy: Flash i HTML5. Tryb HTML5 umożliwia działanie KeyCAPTCHA w większości przypadków nowoczesne przeglądarki, Jak na przykład Mozilla Firefox, GoogleChrome, Safari, a także do pracy na iPhonie i iPadzie. Tryb z błyskiem przeznaczony do pracy w przeglądarkach internetowych Internet Explorer i Opera. Podczas ładowania KeyCAPTCHA automatycznie określa tryb działania w zależności od przeglądarki odwiedzającego.

Ta captcha w odniesieniu do Joomla, według twórców (sam tego nie sprawdzałem), obsługuje następujące popularne rozszerzenia: JComments, yvComment, Komentarze K2, Komentarze JXtened, VirtueMart, Kreator społeczności, JomSocial, AlphaRegistration, Rejestracja K2, DFContact, ALFcontact, Księga gości Phoca, Easybook Reloaded, FlexiContact, JoomlaDonation, ChronoForms, AdsManager, QContacts, Tablica ogłoszeń, Drzewo Mosets, HikaShop ,Integrator JWHMCS.

Oprócz tego captcha dla Joomla chroni standardowe formularze Joomla: Rejestracja, Skontaktuj się z nami, Zresetuj Hasło i Przypomnij nazwę użytkownika.

Aby pobrać wtyczkę i móc z nią pracować, potrzebujesz Darmowa rejestracja na stronie https://www.keycaptcha.com/. Określasz na jakich stronach będziesz korzystać z wtyczki, wskazujesz typ CMS i jego wersję oraz otrzymujesz link do pobrania i to unikalny specjalnie dla Ciebie osobisty tajny klucz i kod skryptu. Dane te wstawiasz do parametrów wtyczki podczas jej aktywacji.

To wszystko na dzisiaj.

Aby nie przegapić niczego opublikowanego, możesz zapisz się na jeden zkanały RSS: Wszystkie aktualności z serwisu, Wiadomości z sekcji „Opowieści starego użytkownika” lub Wiadomości z sekcji „Świat Androida”.

Artykuł ten można omówić pod adresem

Napisałem już post z recenzją na temat możliwości. Napisałem kolejny artykuł na temat (stron i sklepów internetowych) na 1C-Bitrix. Ten post będzie z tej samej serii, o narzędziach bezpieczeństwa dostępnych w Bitrix od razu po wyjęciu z pudełka. Wymienię je wszystkie, powiem, które narzędzie jest dostępne w której edycji Bitrixa i krótko i niezbyt szczegółowo opowiem o przeznaczeniu każdego z nich.

Z doświadczenia w pracy z klientami wiem, że bezpieczeństwo nie jest ostatnią kwestią, która ich interesuje. To prawda, że ​​​​klienci zwykle nie rozumieją szczegółów i po prostu boją się hakerów, zhakowania witryny lub uszkodzenia witryny. Ale ogólnie rzecz biorąc, mają rację w swoich obawach.

Jeżeli wybierasz CMS dla strony lub sklepu internetowego i bezpieczeństwo jest jednym z kryteriów, to mój post pozwoli Ci zorientować się, czy Bitrix daje Ci wystarczającą pewność.

Najpierw wnioski

Artykuł okazał się długi, a temat dość nudny. Dlatego zdecydowałem się napisać wnioski już na samym początku, aby zwiększyć szansę, że je przeczytasz. Patrząc więc na długość tego posta, może się wydawać, że łatwo jest się pomylić w całej gamie narzędzi bezpieczeństwa Bitrix. Ale to nieprawda. Wszystkie są dość proste.

Dla zwykłego użytkownika, który nie jest zbyt obeznany w technicznych szczegółach tworzenia stron internetowych, wystarczy wiedzieć, gdzie zajrzeć do raportu o aktualnym bezpieczeństwie witryny, umieć uruchomić skaner bezpieczeństwa i monitor jakości (oba mogą można to zrobić jednym kliknięciem). Są miejsca, w których możesz przeglądać ujednolicone raporty – proste i przejrzyste. Zatem, nie musisz być specjalistą ds. bezpieczeństwa, aby monitorować bezpieczeństwo w Bitrix tak samo jak nie musisz być ekspertem w dziedzinie analityki internetowej, aby sprawdzić ruch na swojej stronie w LiveInternet lub Yandex.Metrica.

Bezpieczeństwo stron internetowych to coś, czego nie można zignorować. Albo możesz, dopóki nie pojawią się problemy po raz pierwszy. Bitrix jest bardzo dobrze rozwinięty pod kątem bezpieczeństwa. A co najważniejsze, daje właścicielowi witryny jasne narzędzia do oceny bezpieczeństwa (a także wielu innych ważne małe rzeczy). Wszystko to zostanie omówione w artykule

Iść.

Proaktywna ochrona przed włamaniami na strony internetowe

Bitrix ma cała linia narzędzia techniczne oraz organizacyjne środki bezpieczeństwa, zwane łącznie „Obroną Proaktywną”.

Wszystkie narzędzia wymienione w tej sekcji są dostępne od wersji „Standard” 1C-Bitrix i nowszych (nie są dostępne w wersji „Start”). Niektóre wymagają modułu Analityka internetowa, co zostało omówione osobno.

Filtr proaktywny(Zapora sieciowa aplikacji internetowych)

Chroni witrynę przed włamaniem przez większość znane ataki. Filtr identyfikuje potencjalne zagrożenia i blokuje włamania na stronę, analizuje wszystkie dane pochodzące od odwiedzającego i odfiltrowuje te, które uzna za podejrzane. Filtr chroni witrynę przed włamaniami, w tym z powodu błędów bezpieczeństwa popełnionych przez programistów. Filtr proaktywny rejestruje próby ataków w specjalnym dzienniku, a także informuje administratora witryny o przypadkach włamań. Filtr umożliwia zablokowanie atakującego poprzez dodanie jego adresu IP do listy zatrzymań.

Należy pamiętać, że czasami niektóre działania osób odwiedzających witrynę mogą wyglądać podejrzanie, choć nie stanowią zagrożenia, wtedy filtr będzie fałszywie pozytywny. Ale to hołd dla czujności. Podobnie jak zbyt czuły alarm w samochodzie sąsiada pod twoimi oknami :-).

Skaner bezpieczeństwa witryny internetowej

Jest to usługa, która pozwala sprawdzić stronę internetową pod kątem bezpieczeństwa, zidentyfikować ewentualne luki w oprogramowaniu oraz wykryć nieprawidłowe ustawienia zabezpieczeń CMS, PHP i serwera.

Zwykłemu właścicielowi sklepu internetowego daje skaner bezpieczeństwa dodatkowy powódśpij spokojniej. Możesz samodzielnie przeprowadzić testy bezpieczeństwa, zobaczyć, co jest nie tak i dowiedzieć się, jak chronić witrynę, skontaktować się z programistą w celu uzyskania porady i/lub rozwiązania problemu.

Proszę, jeśli coś zostanie odkryte, nie spuszczajcie od razu wszystkich psów na programistów. Skaner jest często zbyt wybredny.

Świetne narzędzie do sprawdzenia, czy wszystko jest w porządku z bezpieczeństwem Twojego projektu. Podobna kontrola, prosty audyt bezpieczeństwa witryny i raport z zaleceniami ekspertów w tej dziedzinie będą kosztować od 10-15 tysięcy rubli. i wyżej.

Skanowanie rozpoczyna się jednym przyciskiem. Po zakończeniu skanowania wyświetlane są wyniki wraz z listą wszystkich zagrożeń bezpieczeństwa wykrytych na stronie:

  • Skaner wykryje błędy w wewnętrznej organizacji witryny, na przykład to, czy sesje są bezpiecznie przechowywane.
  • Pokaże, które możliwości systemu zapewniające bezpieczeństwo witryny nie są używane (nie są włączone), a które ustawienia nie zostały zakończone.
  • Moduł wyświetli także wszystkie zagrożenia, które nie są niebezpieczne, ale potencjalnie słabe punkty bezpieczne (proste hasło do bazy danych, obniżony poziom bezpieczeństwa dla administratorów) itp. drobiazgi, które jednak często okazują się przydatne. Na przykład, gdy programista zapomniał coś poprawić „w razie potrzeby” po zakończeniu pracy.

Skaner może także wyszukiwać potencjalne luki w kodzie PHP projektu. Każdy zainteresowany sposobem wdrożenia tego rozwiązania może przeczytać więcej na blogu Bitrix.

Sprawdzanie bezpieczeństwa kodu PHP na stronie.

Dla większości użytkowników, dla których szczegóły techniczne nie są zbyt ważne, powiem najważniejsze - jest to narzędzie dla programisty, który może zapomnieć o zapewnieniu czegoś w zakresie bezpieczeństwa projektu internetowego lub po prostu nie wiedzieć. To narzędzie pozwala na identyfikację możliwe problemy, pokazuje je, aby można je było wyeliminować. Ale aby programista nie zapomniał go używać i nie stracił z oczu wielu innych drobiazgów związanych nie tylko z bezpieczeństwem, obecny jest 1C-Bitrix „Monitor jakości”, zostanie to również omówione w tym artykule.

Oprócz wyników sprawdzenia witryny pod kątem luk podane są szczegółowe zalecenia dotyczące ich eliminacji. Zwłaszcza ważne punkty w raporcie są podświetlone na czerwono i oznaczone specjalną ikoną.

Antywirus internetowy. Chroni witrynę przed wirusami.

Najłatwiejszym sposobem ochrony witryny internetowej przed wirusami jest użycie na komputerze programu antywirusowego. Strona internetowa jest zainfekowana wirusem najczęściej z komputera administratora, który ma do niej dostęp, a nie dlatego, że witryna spędza dużo czasu w Internecie :-). Dlatego głównym zadaniem antywirusa internetowego jest powiadomienie administratora witryny o infekcji. Wirus na stronie oznacza, że ​​na komputerze administratora może znajdować się wirus i należy podjąć odpowiednie działania.

Antywirus internetowy działa na stronie internetowej, a nie na komputerze administratora, dlatego zdecydowanie potrzebny jest zwykły antywirus.

W zależności od ustawień, które zostaną w nim skonfigurowane, Ochrona WWW może albo jedynie poinformować administratora witryny o podejrzeniu obecności wirusa, albo automatycznie wykryć niebezpieczne obszary w kodzie HTML witryny i „wyciąć” podejrzane ramki iframe i JavaScript. Możliwe jest dodanie wyjątków, dzięki czemu program antywirusowy przestanie reagować na bezpieczne, ale podejrzane (jego zdaniem) części kodu.

Mówiąc najprościej, antywirus internetowy spełnia wielki dobry uczynek - blokuje rozprzestrzenianie się wirusa przez Twój sklep internetowy.

Co to oznacza w praktyce? Oznacza to, że odwiedzający nie otrzymają ostrzeżenia ze swojego programu antywirusowego lub przeglądarki, że Twojej witrynie nie można ufać. I to jest dobre!

Ile razy sam spotkałeś się z niepokojącym komunikatem „Ta witryna zagraża bezpieczeństwu Twojego komputera” lub „Ta witryna ma problemy z bezpieczeństwem”. Ponadto wyszukiwarki nie będą wykluczać Twojej witryny z wyników wyszukiwania pod kątem rozprzestrzeniania wirusów. I tak właśnie się dzieje, jeśli witryna przez długi czas zainfekowany.

Lista zatrzymań. Zakazać draniom!

Czasami chcesz zablokować (zbanować) niektórych użytkowników lub boty, aby odmówić dostępu do witryny. Może się to przydać, jeśli użytkownicy składają zamówienia testowe w niejasnym celu, systematycznie piszą niestosowne komentarze, spamują reklamami lub tworzą niepotrzebną aktywność. W takich przypadkach 1C-Bitrix zapewnia „Listę zatrzymania”.

Niepożądanych użytkowników można dodać do listy zatrzymań ręcznie lub automatycznie na podstawie określonych zdarzeń.

Lista przystanków ma kilka przydatnych funkcji:

  • Aby nie zapomnieć o odblokowaniu użytkownika, a może się to przydać, ponieważ wiele adresów IP ma charakter dynamiczny i nie jest przypisany do tego samego użytkownika przez długi czas, możesz ustawić czas, przez jaki blokada będzie obowiązywać, po które zostaną automatycznie usunięte.
  • Możesz wyświetlić niestandardową wiadomość zablokowanym odwiedzającym, na przykład „Twój adres IP został zablokowany ze względu na wzmożoną aktywność”. Lub, co moim zdaniem jest ciekawsze, przekierowuje na strony osób trzecich. Na przykład konkurentom. Niech prowadzą swą destrukcyjną działalność.
  • Dostęp do odwiedzających i botów można ograniczyć nie tylko adresem IP, ale także maską sieci i UserAgentem (jeśli dostępny jest moduł Web Analytics), co jest szczególnie przydatne do blokowania niechcianych botów.

Korzystając z listy stop, musisz uważać, aby przypadkowo nie zablokować połowy Internetu, wszystkich użytkowników dowolnej przeglądarki lub robota-pająka z Twojej ulubionej wyszukiwarki.

Funkcjonalność listy stop jest połączona z innymi narzędziami bezpieczeństwa (na przykład z „Filtrem proaktywnym” lub „Kontrolą aktywności”), co umożliwia blokowanie (w tym automatycznie) osób naruszających zasady, które zostały zidentyfikowane przez inne narzędzia.

Monitorowanie podejrzanej aktywności na stronie. Kto tam?

Dużo dobrego i złego. Dlatego należy blokować nadmierną aktywność na stronie, zwłaszcza pochodzącą od botów. Oczywiście nie ma z tego szczególnej szkody, ale nie ma też żadnych korzyści. Na przykład, jeśli Twoja witryna jest hostowana regularnie hosting wirtualny, który z łatwością radzi sobie z 500-700 odwiedzinami dziennie, wówczas próba pobrania całej witryny w 10 wątkach za pomocą TeleportPro może utrudnić innym użytkownikom lub zakończyć się niepowodzeniem. Nie wspominając już o tym, kto i w jakim celu musiał pobrać Twoją witrynę.

Tutaj na ratunek przychodzi kontrola aktywności. Pozwala blokować zbyt aktywnych użytkowników, boty, chroni przed niezbyt masowymi atakami DDoS oraz, co bardzo ważne, uniemożliwia próby odgadnięcia hasła do serwisu. Aby wszystko było uporządkowane, a administrator witryny mógł w razie potrzeby kontrolować proces, wszystkie działania są automatycznie rejestrowane w dzienniku, do którego administrator może je od czasu do czasu przeglądać.

W ustawieniach możesz ustawić szereg parametrów: Które działanie zostanie uznane za „niepotrzebne”, po czym należy podjąć działania, na jak długo blokować źródło aktywności, jaki komunikat mu wyświetlić lub gdzie go przekierować.

Jak widać, rzecz jest całkiem przydatna i będzie wykorzystywana w działaniu witryny. Niestety narzędzie to dostępne jest jedynie w edycjach z modułem „Analityka sieciowa” („Ekspert” i „Biznes”).

Ochrona części administracyjnej

Sercem serwisu jest część administracyjna. To jest centrum dowodzenia, z którego zarządza się projektem Skynet. Po uzyskaniu dostępu do panelu administracyjnego atakujący (lub po prostu nieuczciwy pracownik eksperymentalny) może sprawić wiele problemów, których rozwiązanie zajmie dużo czasu. Im bardziej złożone hasło, tym bardziej chcesz je zapisać na pulpicie w pliku „ Hasło do witryny.txt", lub w przeglądarce, skąd zwykle nie jest trudno go pobrać.

Kolejną linią obrony jest ochrona części administracyjnej poprzez adres IP. Właśnie do tego zostało zaprojektowane to narzędzie. Jego użycie czyni go bezsensownym Ataki XSS do komputera administratora / redaktora serwisu / menedżera treści. Kradzież hasła też nic nie da.

Konfiguracja zakazu dostępu do części administracyjnej.

Ochrona części administracyjnej pozwala na otwarcie dostępu do zarządzania witryną tylko z określonych adresów IP lub zakresów.

Dla ułatwienia konfiguracji system pokazuje aktualny adres IP użytkownika. Dodatkowo sprawdza, czy użytkownik nie zablokował sobie dostępu. Jeśli jednak tak się stanie, że nadal będziesz blokowany, np. zmienił się Twój adres IP i nie będziesz mógł zalogować się do panelu administracyjnego, możesz usunąć ograniczenie adresów IP tworząc (poprzez FTP lub poprzez panel administracyjny hostingu) specjalny plik (z dowolną zawartością, może być pusty), ale wzdłuż określonej ścieżki i pod żądaną nazwą. Ścieżkę do pliku i jego nazwę określamy w ustawieniach modułu Ochrona Proaktywna. Upewnij się wcześniej, że w przypadku zablokowania wiesz, który plik należy utworzyć i gdzie.

Ścieżka i nazwa pliku, który należy zapisać na wypadek, gdybyś się zablokował.

Monitorowanie integralności plików

W 1C-Bitrix istnieje możliwość monitorowania zmian w plikach, zarówno rdzenia systemu, jak i publicznej części witryny.

Funkcjonalność tę można wykorzystać na przykład do monitorowania pracy zewnętrznego programisty, aby zrozumieć, które pliki zostały zmienione, jakie nowe pliki zostały dodane i czy jądro zostało zmodyfikowane.

Dla większego bezpieczeństwa możliwe jest sprawdzenie integralności samego skryptu realizującego kontrolę.

Ochrona sesji

Jeśli osoba atakująca uzyska dostęp do sesji autoryzowanego administratora, będzie mogła uzyskać dostęp do witryny. Aby chronić witrynę przed tego rodzaju włamaniami, 1C-Bitrix zapewnia ochronę sesji, której użycie sprawia, że ​​kradzież sesji staje się bezcelowa.

Oprócz funkcjonalności ochrony sesji dostępnej w ustawieniach grup użytkowników, narzędzie Session Protection umożliwia przechowywanie sesji użytkowników w bazie danych, co uniemożliwia dostęp do nich w przypadku nieprawidłowych ustawień zabezpieczeń na hostingu współdzielonym. Dodatkowo możesz ustawić czas życia identyfikatora sesji tak, aby zmieniał się w określonych odstępach czasu. Wtedy nawet skradziona sesja przestanie mieć znaczenie po tym czasie. Wartość domyślna to 1 minuta.

Zabezpieczenie przed wyświetlaniem strony internetowej w ramkach

Najprostszym przykładem jest to, że jeśli spojrzysz na źródła odesłań do Twojej witryny, zobaczysz, że niektóre linki prowadzą do Twojej własnej witryny, tylko z innym adresem. To jest otwór w ramie. Istnieją usługi takie jak snip.ly, które umożliwiają umieszczanie za ich pośrednictwem linków i wyświetlanie reklam w witrynie strony trzeciej. Przykładowo, jeśli klikniesz w ten link, przeniesiesz się na bloga Tyomy Lebiediewa, gdzie poniżej będzie znajdować się moje ogłoszenie. Jeśli chcesz, możesz do tej reklamy dołączyć awatar Temy, wtedy skuteczność będzie jeszcze większa.

Aby zapobiec takim wydarzeniom w Twojej witrynie, Bitrix posiada ochronę ramek.

A oto, co piszą o tym sami chłopaki z Bitrix:

Zakaz wyświetlania stron witryny w ramkach innych domen pozwala chronić projekt przed Clickjackingiem (wstawienie niewidocznej ramki z zasobu docelowego w celu uzyskania kliknięcia od odwiedzającego), Framesniffingiem i znacznie zmniejsza prawdopodobieństwo ataków typu Cross-site scripting.

Ochrona przed przekierowaniami przed phishingiem

Phishing to rodzaj oszustwa internetowego.

W Bitrixie, jak w każdym CMS-ie czy serwisie, w którym konieczne jest liczenie kliknięć, możliwe jest tworzenie linków poprzez przekierowania. Przykładowo w module „Reklama”. Aby uniemożliwić atakującym wykorzystanie ich do podstępnych celów, musisz włączyć ochronę przed przekierowaniami.

Przekierowanie na inną stronę, o której wiadomo, że jest bezpieczna (można ustawić w ustawieniach). Tam w ustawieniach możesz ustawić tekst ostrzegający użytkownika o możliwej próbie phishingu.

Hosty/domeny

Ten tryb zapobiega fałszowaniu nagłówka hosta HTTP. Mówiąc najprościej, uniemożliwia otwarcie Twojej witryny internetowej pod adresami innymi niż te, na które wyraziłeś zgodę. Możesz skonfigurować blokowanie takich prób otwarcia witryny lub przekierować odwiedzającego na potrzebny autoryzowany adres.

Panel bezpieczeństwa

W Bitrix istnieje wiele narzędzi bezpieczeństwa, które upraszczają konfigurację i określanie Stan aktulany Każdy z nich posiada Panel Bezpieczeństwa. Jest to sekcja, w której wszystkie informacje na temat aktualnego bezpieczeństwa witryny są zebrane i uporządkowane na jednej stronie. obecnie. Tutaj, jeśli to konieczne, podano zalecenia dotyczące poprawy bezpieczeństwa. Natychmiast pojawia się łącze do odpowiedniego narzędzia, które należy włączyć lub skonfigurować.

Aby określić poziom bezpieczeństwa tworzonej witryny wystarczy przejść do panelu bezpieczeństwa.

Bezpieczne uwierzytelnianie bez protokołu SSL

Jeśli musisz pracować z witryną z różne miejsca, w tym poprzez otwarte Punkty Wi-Fi narażasz bezpieczeństwo serwisu, ryzykując, że Twój login i hasło, za pośrednictwem których wchodzisz na stronę, zostaną przejęte przez osoby atakujące. Przechwytywanie haseł nie jest wielki problem, jeśli witryna nie obsługuje szyfrowania lub nie korzystasz z połączenia VPN.

W Bitrix możliwe jest zabezpieczenie autoryzacji bez konieczności łączenia się z SSL. W tym celu w panelu administracyjnym, w ustawieniach modułu głównego należy włączyć tę funkcję zaznaczając odpowiednie pole. Następnie hasła zostaną zaszyfrowane przy użyciu Algorytm RSA kluczem 1024-bitowym i w tej formie przesyłane są do serwera. Zhakowanie ich nie będzie możliwe.

Dziennik włamań

W 1C-Bitrix wszystkie nietypowe lub złośliwe działania są automatycznie rejestrowane w dzienniku włamań. Daje to administratorowi serwisu możliwość wykrycia prób ataków zarówno natychmiast, w momencie ich realizacji (np. poprzez otrzymanie odpowiedniego powiadomienia na e-mail) i zablokowania adresu IP atakującego, jak i poprzez późniejsze przeglądanie zdarzeń w logu. W zależności od głównych typów ataków w logu tworzone są odpowiednie wpisy: SQL-jelling, XSS-ataki, próba wstrzyknięcia PHP. Dziennik włamań jest doskonałym narzędziem dla administratora serwisu, pozwalającym na konserwację zapobiegawczą i zapobieganie próbom włamań poprzez analizę zapisów.

Dziennik włamań.

Uwierzytelnianie dwuetapowe i hasła jednorazowe

Aby wejść na stronę tradycyjnie wykorzystuje się login i hasło. Ale wadą jest to, że nie jest szczególnie trudno je ukraść. Istnieją keyloggery i wirusy, które mogą „przechwycić” Twoje hasło i przekazać je złoczyńcom. Hasło może zostać skradzione z haseł przechowywanych w przeglądarce lub podsłuchane w niechronionych sieciach Wi-Fi.

Dlatego wszyscy są krytyczni ważne miejsca takich jak logowanie do bankowości internetowej, przy przekazywaniu pieniędzy w systemach płatności stosowane są hasła jednorazowe.

Bitrix też może to zrobić. Hasła jednorazowe można wygenerować za pomocą specjalnego urządzenia, breloka wielkości pendrive'a lub aplikacji zainstalowanej na smartfonie z systemem Android na pokładzie.

„Breloki” do generowania haseł jednorazowych.

Ochrona strony internetowej przed DDoS

Filtr proaktywny w pewnym stopniu chroni witrynę przed atakami DoS, umożliwiając automatyczne dodanie do listy zatrzymanych użytkowników i botów nadmiernie aktywnych na stronie, a tym samym zmniejszenie obciążenia, jakie generują na serwerze. Ale to nie wystarczy w przypadku poważnych ataków DDo.

Całkiem niedawno, w 15. wersji Bitrixa pojawiła się nowa możliwość szybkiego umożliwienia ochrony przed atakami DDoS zapewnianej przez usługę Qrator. Można to zrobić zarówno z panelu administracyjnego, jak i ze specjalnej strony na stronie Bitrix (jeśli panel administracyjny Bitrix na Twojej stronie jest niedostępny z powodu ataku DDos). Licencja obejmuje bezpłatną ochronę 1 witryny przed atakami DDos rocznie przez okres 10 dni. Więcej za pieniądze. Taka usługa będzie przede wszystkim interesująca duże projekty. Ale mówiąc o narzędziach bezpieczeństwa wbudowanych w Bitrix, nie sposób o tym nie wspomnieć.

Ważne małe rzeczy

Nadal są małe rzeczy, które odnoszą się do bezpieczeństwa, ale nie tak fajne, jak te, które opisałem powyżej. Ponieważ jednak w tym artykule nie sposób w ogóle o nich nie wspomnieć, wymienię je bez wchodzenia w szczegóły. Wszystko wymienione w tej sekcji jest dostępne w Bitrixie, począwszy od wersji junior „Start”.

Zasady bezpieczeństwa witryny dla grup użytkowników

Dla różnych grup użytkowników w Bitrix ustawiane są odpowiednie uprawnienia, które ograniczają dostęp do modułów i treści w serwisie. Aby użytkownicy z różnych grup mieli dostęp tylko do tych informacji i operacje logiczne których potrzebują do swojej pracy.

Dodatkowo dla każdej grupy użytkowników możesz skonfigurować własną politykę bezpieczeństwa: Powiązać sesję z adresem IP lub siecią za pomocą maski, określić czas trwania sesji oraz czas do pozostania aktywnej autoryzacji, określić ile jednoczesnych autoryzacji może być wykonywane dla jednego użytkownika, ustaw długość hasła i jego złożoność.

Tym samym dla grupy użytkowników, którzy nie mają w serwisie żadnych uprawnień poza przeglądaniem treści w części publicznej, można ustawić niski poziom bezpieczeństwo, a dla grupy Administratorzy ustaw je na wysokie lub nawet włącz uwierzytelnianie dwuetapowe, o czym wspomniano powyżej.

Dziennik zdarzeń

Oprócz Dziennika Włamań, o którym pisałem już powyżej, Bitrix posiada jeszcze jeden – Dziennik Zdarzeń. W tym miejscu rejestrowane są zdarzenia związane z autoryzacją i rejestracją użytkowników, pracą różnych użytkowników z uprawnieniami dostępu, edycją przez nich plików i menu, pracą z treścią w blokach informacyjnych (aktualności, produkty, zdjęcia itp.), co pozwala na ich monitorowanie podstawowe akcje w systemie.

Nie wszystkie funkcje logowania są domyślnie włączone, należy je włączyć dla modułu głównego (zaznaczając odpowiednie pola) i to samo zrobić w ustawieniach każdego bloku informacyjnego.

Konfiguracja parametrów dziennika zdarzeń w module głównym.

Ustawia parametry dziennika zdarzeń w bloku informacyjnym.

Na pierwszy rzut oka jest to nudna i niepomocna rzecz. Ale czasami pomaga ustalić, kto ma rację, a kto jest skrajny. Na przykład, gdy pojawia się spór między menedżerami treści na temat tego, kto ostatnio edytował ten lub inny artykuł na stronie internetowej lub produkt w katalogu i poważnie schrzanił. Wtedy bardzo przydatne może być przejrzenie dziennika zdarzeń. Dziennik zdarzeń pomaga także zidentyfikować próby automatycznego wybrania loginu i hasła w serwisie. Nieudane próby są widoczne w dzienniku, jeśli jest ich dużo, można podjąć działania zapobiegawcze.

Monitor Jakości

Nie można zaprzeczyć, że bezpieczeństwo witryny, a także jej inne cechy (na przykład szybkość) zależą w dużej mierze od jakości rozwoju. Aby pomóc właścicielowi witryny ocenić, jak dobrze jego projekt jest wykonany, czy wszystko ważne niuanse zostały wzięte pod uwagę i/lub uwzględnione i skonfigurowane przez programistę, narzędzie to jest zaimplementowane w Bitrix.

wyniki automatyczne testowanie monitor jakości witryny.

Jest to zestaw automatycznych testów sprawdzających jakość rozwoju Twojej witryny internetowej, integrację projektu, analizę bezpieczeństwa, wydajność, ustawienia hostingu i wiele więcej. Monitor jakości nie tylko wskazuje wady, ale podaje zalecenia dotyczące ich eliminacji.

Nie powinieneś od razu dzwonić do programisty i przeklinać, jeśli uruchomisz test, a on pokaże wiele obowiązkowych elementów, które nie są spełnione w Twojej witrynie. Często wyeliminowanie tej lub innej „wady” zajmuje tylko kilka minut.

Szczegółowa konfiguracja CAPTCHA

CAPTCHA to stare, dobre narzędzie do ochrony przed działaniami botów. Standardowe captcha mają dużą wadę; można je łatwo rozwiązać w podłodze tryb automatyczny. 1C-Bitrix ma możliwość elastycznej konfiguracji captcha. Ustaw wiele parametrów na jego wyświetlaczu, zmień czcionkę, określ, które znaki będą wyświetlane w captcha, a które nie. To ustawienie jest bardzo wygodne. Świetną opcją jest na przykład captcha z cyrylicą. Aby użytkownicy nie byli zdezorientowani, jaką literę mają napisać, angielską czy rosyjską, możesz pozostawić tylko cyfry i litery alfabetu, które nie należą do alfabetu łacińskiego. Często to wystarczy, aby oszukać zarówno boty, jak i Hindusów, którzy handlują rozwiązywaniem captcha.

Konfigurowanie parametrów wyświetlania captcha.

Ochrona przed automatycznymi rejestracjami

Aby zapobiec automatycznej rejestracji botów na stronie, w ustawieniach modułu głównego można włączyć potwierdzenie rejestracji e-mailem, a aby zapobiec podwójnej rejestracji botów z tego samego adresu e-mail, włączyć kontrolę unikalności. Tam w ustawieniach modułu głównego możesz włączyć funkcję Captcha służącą do rejestracji nowych użytkowników.

Ochrona hasła

W Bitrix ochrona przed automatycznym odgadywaniem hasła jest realizowana na dwa sposoby. Pierwszym z nich jest wynik captcha po określonej liczbie nieudanych prób autoryzacji. Drugim jest blokowanie użytkownika, który powoduje wzmożoną aktywność w serwisie. Oznacza to, że jeśli robot wybierający login i hasło zrobi to zbyt szybko, wówczas filtr proaktywny po prostu go zablokuje, powiadomi o tym administratora witryny i zapisze akcję w dzienniku włamań.

Wydajność witryny

Bezpieczeństwo stron internetowych to nie tylko ochrona przed hakerami. To także szansa na szybkie przywrócenie obiektu do stanu używalności w razie wypadku. Dlatego w tym artykule zostaną omówione między innymi te narzędzia.

Wszystkie funkcje wymienione w tej sekcji są dostępne w Bitrix począwszy od wersji junior „Start”.

Kopia zapasowa

Strona internetowa to oprogramowanie i informacja. Samo oprogramowanie nie może się zepsuć. Ale sprzęt, na którym działają wszystkie Twoje rzeczy, może się zepsuć. Gospodarze poważnie traktują ten rodzaj bezpieczeństwa, ale nadal istnieje ryzyko utraty wszystkiego, co zostało zdobyte w wyniku wyczerpującej pracy. W Internecie można znaleźć wiele przypadków, w których po wypadku hostingowym klient stracił swoją stronę internetową. Z jakiegoś powodu hoster nie miał kopii zapasowych i właściciel też ich nie miał. Pozostaje tylko jedna możliwość – ponownie zamówić stronę/sklep internetowy. Poczekaj kilka miesięcy, aż wszystko będzie gotowe, wypełnij materiałami, wypromuj.

Aby temu zapobiec, mądrzy użytkownicy tworzą kopie zapasowe i przechowują je w innym miejscu, a nie w tym samym koszyku, w którym leżą wszystkie ich jaja. Nie każdy wie jak to zrobić, więc w Bitrixie jest to możliwe Rezerwowy egzemplarz zaimplementowane bardzo prosto i w różne opcje. W rzeczywistości za pomocą kilku kliknięć myszką. Czym dokładnie jest:

Zwiń całą witrynę do archiwum

W takim przypadku cała witryna (lub opcjonalnie treść / rdzeń / baza danych) zostanie zwinięta w schludne archiwum i umieszczona w specjalny folder Online. Istnieje ustawienie, w którym można wyłączyć tworzenie kopii zapasowych określonego folderu lub plików określonego typu. Na przykład, jeśli w witrynie przechowywany jest film, możesz wykluczyć ten folder z kopii zapasowej, aby nie był zbyt duży. Lub jeśli wiesz, że rdzeń Twojej witryny się nie zmienił, ale na co dzień pracujesz z danymi, możesz wykonać kopię zapasową tylko części publicznej i bazy danych.

Jeśli witryna jest duża, archiwum zostanie automatycznie podzielone na części; rozmiar każdej części można ustawić ręcznie lub pozostawić domyślny. W razie potrzeby archiwum można zabezpieczyć hasłem.

Ustawienia kompresji są dobrze przemyślane i odpowiednie dla każdego hostera. Możesz ustawić czas działania skryptu i przerwy w pracy, aby proces nie przekroczył limitu czasu. Możesz wyłączyć kompresję, aby jeszcze bardziej zmniejszyć obciążenie procesora. Wtedy archiwum będzie duże, ale zrobi się to szybko. Znajduje się tam checkbox, dzięki któremu po zakończeniu archiwizacji archiwum zostanie sprawdzone pod kątem błędów.

Automatyczne regularne kopie zapasowe

Aby ograniczyć pracę ręczną i czynnik ludzki(„Zapomniałem zrobić kolejną kopię zapasową”), w Bitrix możesz skonfigurować automatyczne kopie zapasowe zgodnie z harmonogramem.

To znacznie ułatwia życie i pozwala na posiadanie aktualnych kopii zapasowych. Aby zapobiec zajmowaniu przez kopie zapasowe całego miejsca na serwerze z biegiem czasu, możesz skonfigurować automatyczne usuwanie stare kopie.

Automatyczne tworzenie kopii zapasowych w chmurze

Przechowywanie kopii zapasowych w tym samym miejscu, w którym znajduje się witryna, ma jednak wadę – w przypadku poważnego problemu na serwerze kopia zapasowa również zostanie utracona. Dlatego kopię zapasową należy przechowywać oddzielnie od witryny. Oznacza to, że od czasu do czasu trzeba skopiować kopie zapasowe na inny serwer/hosting/chmurę lub na swój komputer.

Zasada niezawodnej kopii zapasowej brzmi: „Musisz przechowywać kopię zapasową na serwerze innym niż ten, na którym znajduje się kopia zapasowa”.

Aby odciążyć użytkownika od tej procedury, Bitrix ma możliwość tworzenia kopii zapasowych bezpośrednio w chmurze. Wszystko jest takie samo, jak opisano powyżej, ale po zakończeniu archiwizacji kopia jest automatycznie przesyłana do magazynu w chmurze Bitrix lub zewnętrznego magazynu w chmurze podłączonego do witryny, na przykład Amazon S3. Zaletą dla przeciętnego użytkownika jest to, że pamięć w chmurze jest wbudowana w Bitrix i nie ma potrzeby podłączania ani konfigurowania czegokolwiek.

W swojej chmurze 1C-Bitrix przydziela bezpłatnie dla każdej licencji określoną ilość miejsca do przechowywania kopii zapasowych:

  • 1 GB. Dla redaktorów Start,
  • 2 GB. Dla „Standardowego”
  • 6 GB. Dla redakcji „Eksperta”,
  • 4 GB. Dla „Małego Biznesu”
  • 10 w wersji Business.

Nie za dużo, ale wystarczająco, aby ostatnie 1-2 były bezpieczne kopie zapasowe. W razie potrzeby wolne miejsce w chmurze Bitrix można po prostu rozszerzyć, kupując je. Lub podłącz chmurę innej firmy.

Obsługa przechowywania w chmurze

Nie ma to nic wspólnego z bezpieczeństwem bezpośrednio, ale odkąd zacząłem o tym mówić magazyn w chmurze, trzeba powiedzieć, że chmury łączą się bez problemów i działają nie tylko jako kopia zapasowa. Odpowiada za to specjalny moduł, dostępny we wszystkich edycjach, zaczynając od „Start”. Po podłączeniu chmury do Bitrix możesz ją skonfigurować do przechowywania plików dowolnego typu. Przykładowo, aby wszystkie filmy przesłane do serwisu były automatycznie umieszczane w chmurze i stamtąd udostępniane użytkownikowi. Przy niektórych zadaniach jest to przydatne, pozwala odciążyć hosting i przyspieszyć ładowanie informacji przez odwiedzających.

Inspektor serwisu

Usługa chmurowa firmy 1C-Bitrix, która umożliwia monitorowanie kilku prostych, ale ważnych parametrów w witrynach i sklepach internetowych działających pod kontrolą Bitrix:

  • Monitoruje działanie serwisu. Niezależnie od tego, czy witryna się otwiera, czy nie, jak długo była bezczynna. Yandex.Metrica również to robi, ale ta usługa pokazuje informacje bardziej szczegółowo.
  • Sprawdza, kiedy domena wygaśnie i powiadamia Cię e-mailem. Rejestrator również powiadamia, ale zdarzają się przypadki, gdy osoba odpowiedzialna za witrynę i ta, na którą zarejestrowana jest domena - różni ludzie. Wtedy osoba odpowiedzialna za witrynę może nie otrzymać wiadomości e-mail od rejestratora domeny. Aby temu zapobiec, inspektor budowy powiadomi go.
  • Data wygaśnięcia licencji 1C-Bitrix. Wydawałoby się, że nie jest to zbyt istotne. Faktycznie oszczędza pieniądze. Przecież zakup preferencyjnego odnowienia to 20% kosztu licencji. Najważniejsze jest, aby mieć czas na zakup w ciągu 30 dni po wygaśnięciu licencji. Nie mieliśmy czasu, następnym razem będziemy musieli zapłacić 60% kosztów. Dlatego ważne jest, aby nie przegapić pożądanej daty.
  • Sprawdź, czy witryna odpowiada za pomocą protokołu https.
  • Okres ważności certyfikatu SSL. Sprawdzi i przypomni Ci, kiedy nadejdzie czas odnowienia Twojego certyfikatu SSL.

Zaznaczamy pola, które chcemy sprawdzić.

Tak wyglądają wyniki kontroli.

Wniosek

Trudno zaprzeczyć, że bezpieczeństwo witryny internetowej jest ważne. Zwłaszcza jeśli jest to sklep internetowy lub strona firmowa, od której działania zależy reputacja i zarobki. Bitrix daje świetne narzędzia do pracy z ochroną. Nie śmiem tego stwierdzić, ale myślę, że pod względem bezpieczeństwa jest to jeden z najlepszych pudełkowych CMS-ów na świecie.

Wszystkie wnioski z tego artykułu przeniosłem na początek. Nie ma sensu ich tutaj powtarzać. Mam nadzieję, że ten artykuł Ci pomógł. Jeśli tak, napisz proszę, będzie mi miło :-)


Oprogramowanie od dawna jest integralną częścią życia niemal każdej osoby i organizacji. Liczba firm produkujących oprogramowanie jest dziś niezwykle duża, a każda z nich stara się budować jak najwięcej najlepszy produkt W sklepie. Istnieją jednak poważne zagrożenia, które mogą je powstrzymać.

Problem biznesowy

Każda firma zajmująca się oprogramowaniem prędzej czy później stanie przed szeregiem problemów, które mogą negatywnie wpłynąć na dochody, reputację i pozycję rynkową firmy. Każde oprogramowanie zawiera unikalne mechanizmy i dane. Większość z nich klasyfikowana jest jako tajemnica ściśle handlowa, która w żadnym wypadku nie powinna stać się znana osobom spoza firmy. Jednocześnie oprogramowanie może całkowicie legalnie wpaść w ręce większości różne firmy i osoby. Wśród nich na pewno znajdą się tacy, którzy chcą nieuczciwie czerpać korzyści z braku lub słabej ochrony oprogramowania.

Ponadto sprzedaż oprogramowania to złożony i wieloetapowy proces, który wymaga skoordynowanej pracy wielu specjalistów. Każdy błąd w jego budowie zabiera pieniądze firmie deweloperskiej i zakłóca rozwój jej biznesu.

Problemy, jakie może napotkać sprzedawca:

Bezpośrednii i potencjalni konkurenci Firmy opracowujące podobny produkt będą próbowały uzyskać cenne algorytmy używane w Twoim oprogramowaniu, aby móc je wykorzystać we własnym rozwoju.
Nieuczciwi użytkownicy Wiele z twoich obecnych lub potencjalni klienci wolą nie płacić za korzystanie z oprogramowania, zwłaszcza jeśli jest to łatwe.
Profesjonalni hakerzy Na rynku jest wielu specjalistów zajmujących się hackowaniem na zamówienie. Jeśli im się to uda, to w najlepszym wypadku 1 firma skorzysta z Twojego programu, a w najgorszym – na rynku pojawi się Twój konkurent.
Słaby model sprzedaży Wybór i wdrożenie schematu licencjonowania oprogramowanie reprezentuje ważny etap V przygotowanie przed sprzedażą oprogramowanie. Nieefektywny model monetyzacji nieuchronnie doprowadzi do utraty zysków.
Brak elastyczności Każdy rynek zmienia się stale i często bardzo szybko. Istotnym elementem biznesu jest możliwość szybkiego dostosowania się do nowych potrzeb klientów – od zmiany zestawu dostarczanych produktów i modułów, po zmianę całego modelu licencjonowania i zapewnienie klientowi indywidualnych warunków.
Wysoki koszt posiadania Stosowanie nieelastycznych i nieefektywnych narzędzi wydłuża czas realizacji wewnętrznych procesów biznesowych dostawcy. Na przykład wydanie nowej wersji oprogramowania, utworzenie licencji, dostarczenie jej do klienta itp. Im więcej pracy ręcznej włożonej we wsparcie tych procesów, tym wyższe koszty operacyjne i mniejsze zyski.

Rozwiązanie biznesowe

Technologia i stos produktów Guardant pozwala nam zapewnić kompleksowe rozwiązanie problemów związanych z ochroną i licencjonowaniem produkty oprogramowania. Kluczowe cechy:

Ochrona własności intelektualnej
  • Przeciwdziałanie inżynierii odwrotnej i analizie kodu;
  • Ochrona programu przed włamaniem i modyfikacjami;
  • Ochrona przed niekontrolowaną dystrybucją oprogramowania;
  • Możliwość wdrożenia własnych mechanizmów ochronnych.
Bezpieczne licencjonowanie produktów
  • Obsługuje prawie wszystkie schematy licencjonowania;
  • Ochrona przed naruszeniem warunki licencji
  • Wsparcie pełny cykl sprzedaż - od pierwszej wysyłki do zdalna aktualizacja licencje;
  • Technologia tworzenia indywidualnych warunków licencyjnych dla Klienta;
  • Możliwość wdrożenia własnych algorytmów monetyzacji.
Efektywne wykorzystanie technologii
  • Wysoki stopień automatyzacja procesów ochrony i wydawania licencji;
  • Możliwość integracji z systemy stron trzecich zarządzanie (ERP, CRM itp.);
  • Możliwość montażu technologie ochronne do budowy serwerów
  • Uniwersalne mechanizmy odpowiednie dla niemal każdego rodzaju oprogramowania.
9 lutego 2011 o 00:28

Jak zabezpieczyć forum na silniku phpBB przed automatyczną rejestracją

  • Spam i antyspam

Silnik forum phpBB ma duża ilość zalety, jest wygodny zarówno dla użytkowników, jak i moderatorów, dzięki czemu cieszy się dużą popularnością. Ale to właśnie jego popularność powoduje jego główną wadę - jest spamowany, i to spamowany automatycznie. Po pewnym czasie ciągły napływ rejestracji nowych fałszywych użytkowników i wiadomości spamowych od nich może zepsuć nerwy administracji witryny.

PhpBB wersja 3.* w pakiecie podstawowym zawiera aż 4 opcje captcha, które mogą zostać zaproponowane użytkownikom podczas rejestracji na forum. Są nawet recaptcha Jednak dla osób składających automatycznie, jak pokazuje praktyka, nie stanowi to przeszkody.

Programy te wiedzą, jak wyglądają typowe punkty wejścia na strony rejestracyjne różnych silników forów. Wiedza ta opiera się na rozpoznawaniu modeli DOM stron internetowych zawierających formularze umożliwiające rejestrację nowych użytkowników, wysyłanie wiadomości itp. Oznacza to, że na przykład w przypadku phpBB robot wie, że punkt wejścia do rejestracji znajduje się pod adresem /ucp.php?mode=register i że na tej stronie znajduje się przycisk taki jak:

Nie wchodząc w szczegóły techniczne, zauważę, że możesz znaleźć i kliknąć ten przycisk w dokumencie HTML przynajmniej według identyfikatora lub nazwy.

Gdy tylko robot dotrze na stronę z captcha, otrzymuje obraz captcha i próbuje go rozpoznać. Można tu zastosować różne technologie, w zależności od stopnia zaawansowania programu, od algorytmów OCR po proste rozpoznawanie captcha przez żywą osobę. Dlatego ochrona nie działa. Blokowanie adresów IP na forum jest również całkowicie bezużyteczne, ponieważ roboty spamują poprzez liczne serwery proxy. W tym sensie blokowanie adresów lub czyszczenie nowych automatycznych rejestracji nie ma znaczenia; tak czy inaczej wszystko sprowadza się do marnowania czasu.

Okazuje się, że jedynym sposobem na odcięcie autodostawców jest nieznaczna modyfikacja znacznika punktu wejścia na forum w unikalny sposób. Dwa lub trzy lata temu zrobiłem tę sztuczkę dla phpBB2 i zadziałało - automatyczne rejestracje ustały. To samo zostało niedawno potwierdzone na innej stronie, już na silniku phpBB3.

Następnie podam konkretny sprawdzony przykład modyfikacji strony rejestracyjnej phpBB. Chciałbym jednak zastrzec, że post ten oferuje koncepcję ochrony przed automatycznymi rejestracjami na forach, a nie konkretne metody. Wszystko zależy od rąk i głowy administratora forum. Wskazana jest podstawowa znajomość HTML i CSS. Jeśli czytelnicy zaczną masowo kopiować Ta metoda, spamerzy zaprogramują tę „heurystykę” w swoim oprogramowaniu i automatyczne rejestracje będą kontynuowane.

Zatem w ustawieniach forum phpBB wybierz najprostszą captcha „CAPTHA bez GD”.
W przeglądarce wygląda to tak (FF3):

Jeśli spojrzysz na znaczniki strony rejestracyjnej w obszarze obrazu captcha, wygląda to tak:

Właściwie atrybut src w znacznik img i zawiera zdjęcie z captcha. Otwórz folder z bieżącym tematem zainstalowanym na forum. W moim przypadku jest to prosilver: /forum/styles/prosilver/template. Znajdujemy w nim plik captcha_default.html. Jeśli spojrzysz na ten szablon, zobaczysz miejsce, w którym powstaje powyższy znacznik:

Utrudnijmy życie autoprzesyłającym drobnym gestem:

Teraz w przeglądarce będzie to wyglądać tak:

Zgadzam się, nie jest to zbyt miłe, ale teraz nerwy administratora będą w porządku. Zwykli użytkownicy nadal można się zarejestrować. Oczywiście przy modernizacji silnika na większy Nowa wersja Będziesz musiał pamiętać o ponownym wykonaniu tej poprawki. Mam nadzieję, że użytkownicy odważnych phpbb nie będą się rozłączać w tym przykładzie, ale wymyślą inne sposoby zmiany punktu wejścia zgodnie z proponowaną koncepcją ochrony.

Roberta Basyrowa

Trudność lekcji:

Poziom 4- trudne, wymaga koncentracji, dbałości o szczegóły i ścisłego trzymania się instrukcji.

Niedostępne w edycjach:

Bez ograniczeń

Kilka sposobów walki z automatyczną rejestracją botów.




Dodaj niewidoczne pole do formularza rejestracyjnego i ukryj je za pomocą CSS. Ukryj biorąc pod uwagę, że szczególnie zaawansowane boty wykrywają display: none . Niewidzialne pole należy nazwać czymś atrakcyjnym dla botów w kontekście zawartości witryny: Firma, telefon. Możesz dodać znak do tego pola * , - bot podejmie decyzję, że formularz nie zostanie wysłany bez jego wypełnienia.

Śledzony przez stan oprogramowania, że jeżeli to pole zostanie wypełnione to zablokuj użytkownika lub zwróć mu taką samą odpowiedź jak przy udanej rejestracji.

Inna opcja: zastąp pole Nazwa. Dla bota będzie to standard, dla użytkowników będzie to ten, który podałeś, a podczas rejestracji możesz zmienić wartości. Algorytm rejestracji nie ulegnie zmianie, bot będzie nadal wchodził w pole „nazwa (standard)” i nie będzie podlegał rejestracji.



Ochrona IP

Po pierwsze, istnieje możliwość odchwaszczenia zwykły człowiek Który:

  • ma proxy o tym IP,
  • otrzymałem dynamiczny adres IP, który znajduje się w bazie danych (bardzo małe prawdopodobieństwo),
  • osoba, która przypadkowo znalazła się w bazie danych.

Po drugie takich adresów IP są tysiące i dziesiątki tysięcy, a efektywne zarządzanie nimi nie jest wygodne. Nie ma sensu się z nimi bawić na rzecz botów, dużo łatwiej jest zastosować niestandardowe techniki zabezpieczające przed automatyczną rejestracją. Ponadto już na kilku specjalistyczne fora Istnieje usługa rejestracji kont nie przez serwer proxy, ale z adresu IP prawdziwych ludzi. Najwyraźniej używane są botnety.


Organizacyjne środki ochrony

Opcja ta jest możliwa: po rejestracji użytkownik trafia do grupy Początkujący z minimalnymi prawami. Może jedynie wypełnić profil i odpowiedzieć na forum. Wiadomości osobiste, zamieszczanie linków, dodawanie plików, otwieranie nowy temat i inne rzeczy są mu zakazane. Gdy tylko zostawi N wiadomości na forum (według wyboru administratora), przechodzi do grupy Zarejestrowani Użytkownicy, który ma podstawowe uprawnienia użytkownika.

Możesz także utworzyć grupę Aktywni użytkownicy , który będzie miał rozszerzony zestaw uprawnień i użytkownik trafi tam po wpisaniu wiadomości M.

Regularnie w Struktura Bitrixa Nie będzie to możliwe; potrzebne są pewne ulepszenia. Przykład możliwego kodu:

//w przypadku dodawania wiadomości na forum, jeśli ilość wiadomości będzie większa niż FLS_NUM_POSTS, //wtedy przypiszemy użytkownika do specjalnej grupy zdefiniowanej("FLS_NUM_POSTS", 50); zdefiniuj("FLS_FORUM_GROUP", 27); AddEventHandler("forum", "onAfterMessageAdd", "FlsOnForumMessageAdd"); funkcja FlsOnForumMessageAdd($ID, $arFields) ( $arGroups = CUser::GetUserGroup($arFields["AUTHOR_ID"]); if(!in_array(FLS_FORUM_GROUP, $arGroups)) ( $arProfile = CForumUser::GetByUSER_ID($arFields[ "AUTHOR_ID"]); if(intval($arProfile["NUM_POSTS"]) >= FLS_NUM_POSTS-1) ( //dodaj do grupy $arGroups = FLS_FORUM_GROUP; //zapisz Nowa grupa CUser::SetUserGroup($arFields["AUTHOR_ID"], $arGroups); //aktualizuj sesję bieżącego użytkownika if($GLOBALS["USER"]->GetID() == $arFields["AUTHOR_ID"]) CUser::SetUserGroupArray($arGroups); ) ) )

Można zapewnić następujące środki organizacyjne:


Przy stosowaniu środków organizacyjnych przydatny może okazać się płatny moduł Moderator, pozwalający na wystawianie użytkownikom ostrzeżeń i nagród, blokowanie użytkowników na stronie i forum, ukrywanie i usuwanie wiadomości od konkretnego użytkownika i wiele więcej.


Najtrudniejszy sposób. Nie w planie realizacja techniczna, ale pod względem wygody dla użytkowników. Pomysł jest prosty: rejestracja odbywa się w kilku etapach.

Takiej rejestracji mogą zostać poddane wyłącznie boty napisane specjalnie pod konkretny projekt. Lub ręczna rejestracja człowieka odbywa się z późniejszym przeniesieniem konta do botów.

Istnieje łagodniejsza opcja, gdy autoryzacja następuje w jednym etapie, ale na koniec użytkownicy proszeni są o dokończenie autoryzacji poprzez wypełnienie kilku dodatkowych pól. Autoryzacja użytkowników w serwisie możliwa jest od razu po wypełnieniu minimalnych wymaganych pól. I daj im możliwość korzystania z witryny. Jednak ci z nich, którzy nie dokonali autoryzacji (czyli nie wypełnili pól, o wypełnienie których zostali poproszeni) są podejrzani, że są botami. W przyszłości można je usunąć lub ograniczyć ich uprawnienia (umieścić w grupie podejrzanych) do czasu ich uzupełnienia.