Комментарии 115
Хм, а какой там дефолтный пароль админа? :)
PS. Все школьники античата уже брутят пароли)
PS. Все школьники античата уже брутят пароли)
+21
Из дефолтного там только ID. У админа он равен единичке. А логин с паролем задаются во время установки битрикса.
+2
1111 и 1234 естественно
0
Достаточно девечьей фамилии матери
+1
сомневаюсь что в админке битрикса что то ценное хранится…
А вот огрести проблем от службы безопасности банка за попытку подбора пароля более чем реально.
Да и вообще что особенного в сайте банка? Приведите пример? ну взломали сайт моего банка.дефейснули… мне то какое дело?
А вот огрести проблем от службы безопасности банка за попытку подбора пароля более чем реально.
Да и вообще что особенного в сайте банка? Приведите пример? ну взломали сайт моего банка.дефейснули… мне то какое дело?
-22
У такой организации как ЦБ (Центробанк) есть четкие требования к сайтам банков и информационным системам банков РФ.
И в случае дефейса или размещения некоректной информации меры принимаются начиная от штрафа в размере процента от оборота (представьте оборот БТА, Дельты или Юниаструма) вплоть до лишения лицензии.
И в случае дефейса или размещения некоректной информации меры принимаются начиная от штрафа в размере процента от оборота (представьте оборот БТА, Дельты или Юниаструма) вплоть до лишения лицензии.
+9
залезли злые хакеры в админку и поменяли например ссылку на интернет-банк
и пользователи полезли по левой ссылке по фишинг сайт сливать логины и пароли
или ссылочку на проплату чего-то с карточки поменять, или имейл куда отправляется конфиденциальные форму…
В общем для пытливого разума богатый фронт работы
и пользователи полезли по левой ссылке по фишинг сайт сливать логины и пароли
или ссылочку на проплату чего-то с карточки поменять, или имейл куда отправляется конфиденциальные форму…
В общем для пытливого разума богатый фронт работы
+33
вау! а откуда у вас в голове такие сценарии?
-22
ну так голова она для того и нужна, чтобы думать :)
в том числе и о возможных негативных последствиях чьего-то разгильдяйства
А то тут камрад NikitaG пишет, что ну дифейснули и пофиг.
в том числе и о возможных негативных последствиях чьего-то разгильдяйства
А то тут камрад NikitaG пишет, что ну дифейснули и пофиг.
+19
не вы не поняли.Я к тому что профит не велик, палева дофига, и поэтму нахер не нужно никому.
-13
Знаете почему кот яйца лижет? Потому что может.
+20
Блин, прикольное выражение =)
+5
А вы чьи яйца в виду имеете*?
Если ваши то это как бе намекает
Если яйца кота, то например ваш кот может их и себе ОТКУСИТЬ… Но этого то он не делает?
Или вы коту своему намордник купите чтобы яйца себе не откусил??=)
Если ваши то это как бе намекает
Если яйца кота, то например ваш кот может их и себе ОТКУСИТЬ… Но этого то он не делает?
Или вы коту своему намордник купите чтобы яйца себе не откусил??=)
-25
знаете, если бы я был злым хакером, я бы и одноразовый ноут для такого дела не пожалел, и через сеть левую законнектился (вайфай в другом городе\стране и т.д.)
да на крайняк конкуренты покрышуют.
так что оставлять дыры в безопасности ссылаясь на «авось не заметят» — это, извините, кретинизм
да на крайняк конкуренты покрышуют.
так что оставлять дыры в безопасности ссылаясь на «авось не заметят» — это, извините, кретинизм
+5
Да шоб вас всех…
панель ввода пароля в битриксе это дыра??????
Ну тогда надо ссылку на интерснет-банкинг надо убрать…
https://cabinet.rshb.ru/init/index.do
у вашего самого безопасного банка.
В чем разница???
панель ввода пароля в битриксе это дыра??????
Ну тогда надо ссылку на интерснет-банкинг надо убрать…
https://cabinet.rshb.ru/init/index.do
у вашего самого безопасного банка.
В чем разница???
+2
да, но Вы ведь не с этим спорите:
не вы не поняли.Я к тому что профит не велик, палева дофига, и поэтму нахер не нужно никому.
0
Возможно в том, что в то время как системы интернет-банкинга могут быть самописными => неисследованными изнутри, bitrix вполне себе известное приложение, с большим вниманием к нему IT сообщества, в том числе и деструктивного.
0
и как это влияет на безопасность с точки зрения брута пароля через форму ввода логина?
-1
тут не столько речь о бруте пароля, сколько о доступности папки с bitrix'ом вообще и знании слабых мест в этой системе в частности (в том же способе аутентификации запросто могут найтись дыры и перебор паролей просто не понадобится).
0
Ну типо укажите известную уязвимость такого рода.
Ребят то ли я параноик и недекват то ли этот просто это тупо заказуха от битрикс — с понтом что вон мы какие крутые встроили механизмы защиты, а банки не пользуются ими… Ну и плюс конечно пиар с точке зрения количества банков которые юзают битрикс в принципе.
Во всяком случае несмотря на то, что я прсто выражал свое мнение, камрады опустили мою карму ниже плинтуса.
Я думал и продолжаю думать, что все это ерунда.И незакрытие директорий с формой авторизации не является дырой.
Ребят то ли я параноик и недекват то ли этот просто это тупо заказуха от битрикс — с понтом что вон мы какие крутые встроили механизмы защиты, а банки не пользуются ими… Ну и плюс конечно пиар с точке зрения количества банков которые юзают битрикс в принципе.
Во всяком случае несмотря на то, что я прсто выражал свое мнение, камрады опустили мою карму ниже плинтуса.
Я думал и продолжаю думать, что все это ерунда.И незакрытие директорий с формой авторизации не является дырой.
-1
Про пиар — пальцем в небо, системы типа bitrix — это не те вещи, которые покупаются/внедряются на основании сформированного общественного мнения.
Про уязвимости — а они есть. Вот, читайте все три пункта, особенно первый:
Ввод, передающийся в параметрах административной секции не проверяется перед использованием. Нападающий может выполнить произвольные скрипты в контексте уязвимого сайта. Для эксплуатации требуется доступ к административной секцииНе уверен, что речь идет именно о секции с логином, но ведь не зря же сами работники bitrix'а предусмотрели возможность закрытия доступа к страницам авторизации. Да и потом, это только капля в море, не надо зацикливаться только на странице авторизации, смотрите шире на нее и способы ее использования в атаке на сайт.
Так же можете погуглить сами, это только одна ссылка.
За нежелание пользоваться гуглом и непререкаемую веру в свои слова даже после стольких минусов — пройдусь-ка, пожалуй, по вам и я.
Про уязвимости — а они есть. Вот, читайте все три пункта, особенно первый:
Ввод, передающийся в параметрах административной секции не проверяется перед использованием. Нападающий может выполнить произвольные скрипты в контексте уязвимого сайта. Для эксплуатации требуется доступ к административной секцииНе уверен, что речь идет именно о секции с логином, но ведь не зря же сами работники bitrix'а предусмотрели возможность закрытия доступа к страницам авторизации. Да и потом, это только капля в море, не надо зацикливаться только на странице авторизации, смотрите шире на нее и способы ее использования в атаке на сайт.
Так же можете погуглить сами, это только одна ссылка.
За нежелание пользоваться гуглом и непререкаемую веру в свои слова даже после стольких минусов — пройдусь-ка, пожалуй, по вам и я.
0
Да ради бога пройдитесь…
Ссылка ведет на пост 2006 года и на уязвиость в версии продукта Bitrix Site Manager 4.x
Сейчас актуальная 8,5.
Не несите ерунды.
Известных или даже потенциальных уязвимостей в ней нету.
Ссылка ведет на пост 2006 года и на уязвиость в версии продукта Bitrix Site Manager 4.x
Сейчас актуальная 8,5.
Не несите ерунды.
Известных или даже потенциальных уязвимостей в ней нету.
-1
Вы специалист в этой области? Даже если специалист — возьметесь ли вы утверждать что новая версия достаточно хорошо исследована на предмет уязвивомостей? Вряд ли, именно потому что она новая.
Вы считаете что стоит сейчас рассматривать эту систему, забывая о том что она в первую очередь веб-приложение? В статье 2006 года все верно сказано и на данный момент — система обладает всеми недостатками веб-приложений.
Собственно, тут даже говорить не о чем — информацию о точке входа в административную консоль нельзя переоценить. Приложить к этому знания мыла администратора — и уже есть неплохие шансы на взлом. Да и мало ли еще вариантов можно придумать даже без использования уязвимостей самой системы. Повторю еще раз — обратите внимание на количество минусов — они редко бывают не по существу на Хабре, в случае технических вопросов — практически никогда.
Вы считаете что стоит сейчас рассматривать эту систему, забывая о том что она в первую очередь веб-приложение? В статье 2006 года все верно сказано и на данный момент — система обладает всеми недостатками веб-приложений.
Собственно, тут даже говорить не о чем — информацию о точке входа в административную консоль нельзя переоценить. Приложить к этому знания мыла администратора — и уже есть неплохие шансы на взлом. Да и мало ли еще вариантов можно придумать даже без использования уязвимостей самой системы. Повторю еще раз — обратите внимание на количество минусов — они редко бывают не по существу на Хабре, в случае технических вопросов — практически никогда.
+1
>За нежелание пользоваться гуглом и непререкаемую веру в свои слова даже после стольких минусов — пройдусь-ка, пожалуй, по вам и я.
я, знаете ли, как бы не склонен менять свое мнение под воздействием минусов…
Оно у меня формируется на основании опыта, знаний и элементарного здравого смысла.Если у вас к минусам другое отношение — ваше личное дело…
А что касается темы беседы — то незакрытие этой пресловутой страница на безопасность моего счета в банке не влияет никак.Это максимум помарка.О таких вещах просто шлют письмо админу, а не трубят на хабре.
я, знаете ли, как бы не склонен менять свое мнение под воздействием минусов…
Оно у меня формируется на основании опыта, знаний и элементарного здравого смысла.Если у вас к минусам другое отношение — ваше личное дело…
А что касается темы беседы — то незакрытие этой пресловутой страница на безопасность моего счета в банке не влияет никак.Это максимум помарка.О таких вещах просто шлют письмо админу, а не трубят на хабре.
-1
>Оно у меня формируется на основании опыта, знаний и элементарного здравого смысла
Весьма умным будет решение принять тот факт что любой (в том числе и ваш) опыт бывает ошибочен.
А так как разговор идет исключительно о техническом опыте — первоначальным в оценке правильности собственных выводов должен быть фактор именно количества совпадающих с вашим мнений, а не [irony]уникальные[/irony] личные наблюдения, знания и тп. Это логика.
>что касается темы беседы — то незакрытие этой пресловутой страница на безопасность моего счета в банке не влияет никак.Это максимум помарка.О таких вещах просто шлют письмо админу, а не трубят на хабре
забавно видеть как вы упираетесь до последнего и отказываетесь принять здравую мысль:
В банке любая дополнительная безопасность не будет лишней. Особенно — когда надежда возлагается на систему безопасности сторонней системы. Любой шанс должен быть по возможности исключен.
Если вы этого не понимаете — вы просто упертый дурак, которого по достоинству оценили, этот вывод так же логичен, как абзац выше. Не забывайте, что у нас тут не соц. сеть, а тематическое сообщество, и минусики/плюсики ставятся не за красивые глаза.
Весьма умным будет решение принять тот факт что любой (в том числе и ваш) опыт бывает ошибочен.
А так как разговор идет исключительно о техническом опыте — первоначальным в оценке правильности собственных выводов должен быть фактор именно количества совпадающих с вашим мнений, а не [irony]уникальные[/irony] личные наблюдения, знания и тп. Это логика.
>что касается темы беседы — то незакрытие этой пресловутой страница на безопасность моего счета в банке не влияет никак.Это максимум помарка.О таких вещах просто шлют письмо админу, а не трубят на хабре
забавно видеть как вы упираетесь до последнего и отказываетесь принять здравую мысль:
В банке любая дополнительная безопасность не будет лишней. Особенно — когда надежда возлагается на систему безопасности сторонней системы. Любой шанс должен быть по возможности исключен.
Если вы этого не понимаете — вы просто упертый дурак, которого по достоинству оценили, этот вывод так же логичен, как абзац выше. Не забывайте, что у нас тут не соц. сеть, а тематическое сообщество, и минусики/плюсики ставятся не за красивые глаза.
0
Да срать мне и большенству хабровчан на плюсики и минусики.
>первоначальным в оценке правильности собственных выводов должен быть фактор именно количества совпадающих с вашим мнений
Да вы просто быдло получется=)
>первоначальным в оценке правильности собственных выводов должен быть фактор именно количества совпадающих с вашим мнений
Да вы просто быдло получется=)
-1
>Да срать мне и большенству хабровчан на плюсики и минусики
>Да вы просто быдло получется
>разговор идет исключительно о техническом опыте — первоначальным в оценке правильности собственных выводов должен быть фактор именно количества совпадающих с вашим мнений, а не [irony]уникальные[/irony] личные наблюдения, знания и тп. Это логика.
>Не забывайте, что у нас тут не соц. сеть, а тематическое сообщество
>Да вы просто быдло получется
>разговор идет исключительно о техническом опыте — первоначальным в оценке правильности собственных выводов должен быть фактор именно количества совпадающих с вашим мнений, а не [irony]уникальные[/irony] личные наблюдения, знания и тп. Это логика.
>Не забывайте, что у нас тут не соц. сеть, а тематическое сообщество
-1
>ну так голова она для того и нужна, чтобы думать :)
А для того чтобы в нее есть она че, не нужна?
А для того чтобы в нее есть она че, не нужна?
0
Из небезизвестного журнальчика Phrack и конференции alt2600 как минимум. А что?
+1
Он просто русский человек…
-2
А еще просто повесить дефейс на главную сайта и сыграть на бирже. Плохо разбираюсь, но наверное должен быть скачок (вниз/вверх) стоимости акций?
0
+1
0
Чувствую ваш пост вызвал громкое «МАТЬ ВАШУ...» в офисе битрикса.
+22
Рекомендации «Битрикса» я привел в самом конце статьи со ссылкой.
+3
К сожалению, специфика работы банка такова, что это самое «МАТЬ ВАШУ» сначала кто-то изложит на бумаге, в виде письменного обращения вебмастеру, потом вебмастер в виде письма в службу безопасности, для согласования, те, в свою очередь к руководству на согласование… в итоге МАТЬ ВАШУ там будет разноситься как минимум неделю, а то что закроют — это вообще не факт.
+9
думаю, в офисах вышеуказанных банков громче будет
+6
Долго пытался понять, как читать «40-ку»…
+5
Вы так говорите, будто там нигде нет паролей. Это я про «Какому из банков стоит доверят свои деньги»
Доступ есть не дальше ввода пароля, это, конечно, не очень хорошо, но и не даёт повода сомневаться в безопасности сбережений, которые никак к закрытой админке сайта (фактически, новостная лента и всё) не относятся.
Доступ есть не дальше ввода пароля, это, конечно, не очень хорошо, но и не даёт повода сомневаться в безопасности сбережений, которые никак к закрытой админке сайта (фактически, новостная лента и всё) не относятся.
0
многие решения на bitrix для банков имеют открытый доступ к панели администрированияЯ долго пыжился придумывая, что бы написать под этой цитатой, но думаю, вы и так все поняли.
+2
Какие-то банки неизвестные (ну или мало известные))
-7
Я на сайте одного из банков возможность для SQL Injection случайно обнаружил. Вставил случайно кавычку в поле формы, где ее не должно было быть и вуаля. Это было год назад, не стал никуда сообщать, просто постарался не иметь больше дел с этим банком.
+2
Тут только на PHP версию проверяли. Может найдутся и с ASP.Net версией?
0
Вопрос к автору, чем это опасно?
PS. Спрашиваю потому, что разрабатываю проект на битрикс, и не делал никаких ограничений.
PS. Спрашиваю потому, что разрабатываю проект на битрикс, и не делал никаких ограничений.
0
Возможность брута.
А нет доступа — нет и брута.
Да и не полагается всем показывать доступ в админку.
А нет доступа — нет и брута.
Да и не полагается всем показывать доступ в админку.
0
AFAIK, у битрикса там какие-то антибрутские фишки в связи с «провокативной заshitой» :)
0
защита, которая провоцирует саму себя на взлом?
0
ssh брутят успешно, хоть и с таймаутом и блокированием. Просто много машин брутят. Можно перевесить админку в другое место и спать спокойно
0
У меня было два варианта, первый это брут, второе это повышения безопасности в случае, если вдруг снифером, трояном, или иными методами взломщику удастся заполучить пароль админа.
Причем что же тогда мешает напрямую брутить пароль админа через форму авторизации для обычных пользователей. Молчу уже о ftp и ssh.
Я к тому веду, что сложно это назвать уязвимостью.
Причем что же тогда мешает напрямую брутить пароль админа через форму авторизации для обычных пользователей. Молчу уже о ftp и ssh.
Я к тому веду, что сложно это назвать уязвимостью.
0
Где вы нашли список этих говнобанков из нижней части топа...?
-6
altima высказал выше самые страшные сценарии.
А для банка в случае некорректной информации на сайте действуют штрафные меры со стороны ЦБ.
А для банка в случае некорректной информации на сайте действуют штрафные меры со стороны ЦБ.
+1
а я "../bitrix/admin/index.php" люблю подменять липовой страничкой. И пусть ламают и брутят до уср… :), когда любой запрос выдает — введены неверные данные и таймаут прикрутить на ввод (5 сек с головой хватает).
+4
Внедряет не Битрикс, а партнёры по опасному бизнесу. Придется Б. пересмотреть свое отношение на их безоглядную сертификацию.
+1
А Глобэкс разве жив еще? Вроде он первый в кризис оприветился, нет?
0
банкам похуй :-(
0
admin:123456
уже пробовали?
уже пробовали?
0
Админы Траста и Россельхозбанка должны получить премию (:
+2
Пахнет рекламой…
yandex.ru/yandsearch?text=/bitrix/admin/&lr=1
yandex.ru/yandsearch?text=/bitrix/admin/&lr=1
0
Забавно )
lps.by.ru/bitrix/components/bitrix/
lps.by.ru/bitrix/components/bitrix/
0
Don't panic!
В админку без пароля не попадешь. А разрешать доступ только по IP не всегда хорошо. IP может быть динамическим.
В админку без пароля не попадешь. А разрешать доступ только по IP не всегда хорошо. IP может быть динамическим.
+2
НЛО прилетело и опубликовало эту надпись здесь
Гы… Кто знает, сколько людей должны иметь доступ к управлению сайтом и в каких городах они расположены.
Наверняка, не только один админ сайта, но и руководство и всякие службы безопасно, да и еще кто угодно…
Наверняка, не только один админ сайта, но и руководство и всякие службы безопасно, да и еще кто угодно…
+1
> Кто знает, сколько людей должны иметь доступ к управлению сайтом и в каких городах они расположены.
Может в нижневонюкинском банке «Рабпромхимфаршмашсбыт» никто и не знает, а в нормальных банках знают :)
Может в нижневонюкинском банке «Рабпромхимфаршмашсбыт» никто и не знает, а в нормальных банках знают :)
+1
А вы знаете?
В любом банке знают, кто, что и куда!
Но вот когда люди, мягко говоря, далекие от данного банка начинают паниковать данными топиками, и разрушать репутацию компании — это, мягко говоря, не есть хорошо.
В любом банке знают, кто, что и куда!
Но вот когда люди, мягко говоря, далекие от данного банка начинают паниковать данными топиками, и разрушать репутацию компании — это, мягко говоря, не есть хорошо.
0
вы представитель одного из вышеуказанных банков?
+1
Я — не знаю. Мне не положено это знать, я не сотрудник банка.
> В любом банке знают, кто, что и куда!
Так зачем тогда:
> Кто знает, сколько людей должны иметь доступ к управлению сайтом и в каких городах они расположены.
Противоречие же.
> В любом банке знают, кто, что и куда!
Так зачем тогда:
> Кто знает, сколько людей должны иметь доступ к управлению сайтом и в каких городах они расположены.
Противоречие же.
0
Для этих целей есть VPN.
+2
ip динамический, но никто VPN не отменял, разрешать доступ нужно только с внутренних ip
0
Эт счас, правильно я понимаю — была реклама Битрикса?
+2
Вот вы америку открыли, как будто это грозит крахом всей банковской системе, не иначе. Если бы пароли были брутабельными, то уже давно бы всё подобрали.
-2
Спасибо автору за статью!
Очень и очень важно обращать внимание клиентов на наличие рисков, связанных с информационной безопасностью!
Действительно, даже при наличии всех возможностей в продукте по защите проектов, клиенты далеко не всегда выставляют даже рекомендованный уровень безопасности.
Сегодня необычайно много угроз из веба приходит. Особенно массовыми стали бот сети и всякого года шпионский софт.
Пароли доступа к админкам сайтов являются одной из целей перехвата, чтобы взят контроль над сайтом, заразить сайты и получить новые единицы в бот-сети.
Буквально на днях у нас была рабочая встреча с сотрудниками из органов, на которой мы можно сказать обменивались опытом. :)
Нам демонстрировали админки и возможности бот-сетей, перехват обычных паролей ботами и последующее заражение сайтов, журналы, обсуждения…
А мы показывали одноразовые пароли (OTP), Проактивную защиту и нашу систему защиты.
Я, в общем, все это уже знал, но когда видишь реальные диалоги людей, потери компаний от такого вторжения, убытки частных и юридических лиц… как-то становится беспокойно и особенно за клиентов, с их хроническим невниманием к безопасности.
С другой стороны, мы сегодня знаем, что наши усилия по безопасности были услышаны многими клиентами.
Так как панель безопасности в Проактивной защите стала простой и мы вынесли ее на главную страницу админки, очень многие включили основные инструменты защиты.
Но вот с защитой по IP обычно тянут, неудобно людям ходить только в своей сети.
А это ведь очень повышает уровень защищенности, так как теряют обычно доступ к сайтам не с рабочих компов, а с домашних станций, на которых работают дети и… их родители.
Побольше таких статей. Пусть включают фичи продукта и защищаются.
А заголовок забавный :) «Вы несете деньги в Банк, Банки несут деньги в Bitrix»
Надо пойти проверить, может все действительно так обстоит. :)
Очень и очень важно обращать внимание клиентов на наличие рисков, связанных с информационной безопасностью!
Действительно, даже при наличии всех возможностей в продукте по защите проектов, клиенты далеко не всегда выставляют даже рекомендованный уровень безопасности.
Сегодня необычайно много угроз из веба приходит. Особенно массовыми стали бот сети и всякого года шпионский софт.
Пароли доступа к админкам сайтов являются одной из целей перехвата, чтобы взят контроль над сайтом, заразить сайты и получить новые единицы в бот-сети.
Буквально на днях у нас была рабочая встреча с сотрудниками из органов, на которой мы можно сказать обменивались опытом. :)
Нам демонстрировали админки и возможности бот-сетей, перехват обычных паролей ботами и последующее заражение сайтов, журналы, обсуждения…
А мы показывали одноразовые пароли (OTP), Проактивную защиту и нашу систему защиты.
Я, в общем, все это уже знал, но когда видишь реальные диалоги людей, потери компаний от такого вторжения, убытки частных и юридических лиц… как-то становится беспокойно и особенно за клиентов, с их хроническим невниманием к безопасности.
С другой стороны, мы сегодня знаем, что наши усилия по безопасности были услышаны многими клиентами.
Так как панель безопасности в Проактивной защите стала простой и мы вынесли ее на главную страницу админки, очень многие включили основные инструменты защиты.
Но вот с защитой по IP обычно тянут, неудобно людям ходить только в своей сети.
А это ведь очень повышает уровень защищенности, так как теряют обычно доступ к сайтам не с рабочих компов, а с домашних станций, на которых работают дети и… их родители.
Побольше таких статей. Пусть включают фичи продукта и защищаются.
А заголовок забавный :) «Вы несете деньги в Банк, Банки несут деньги в Bitrix»
Надо пойти проверить, может все действительно так обстоит. :)
+8
> Сегодня необычайно много угроз из веба приходит. Особенно массовыми стали бот сети и всякого года шпионский софт.
«Сегодня»… Только что из анабиоза? Добрый вечер, у нас уже 2009-й год, человек летал в космос и на Луну, компьютеры считают быстрее людей, а автомобили колесят быстрей лошадей. Вам у нас понравится.
«Сегодня»… Только что из анабиоза? Добрый вечер, у нас уже 2009-й год, человек летал в космос и на Луну, компьютеры считают быстрее людей, а автомобили колесят быстрей лошадей. Вам у нас понравится.
-2
… и поменьше Битриксов всяких.
+1
Общеизвестно, что админку необходимо дежрать отдельно от общедоступной части сайта.
Почему она сейчас доступна с этого же домена, почему при инсталляции не предлагается установить ее в другое место? (или я ошибаюсь, и это уже сделали?)
В идеале админка должна быть вообще установлена только с возможностью входа изнутри сети банка, предприятия, и и т.д.
Если кому очень уж надо в админку заходить извне через интернет, тому админы могут и VPN сделать.
Далее, почему по умолчанию не ставится https для админки? (судя по скришнотам выше)
В идеале — отстановить инсталляцию, если нет возможности изпользовать https.
Потом, все установив, пусть админ сам отключает https на свой страх и риск, если головы нет (админка при этом должна очень ругаться, так как нарушается безопасность!), но по умолчанию система должна быть максимально защищена.
Но все равно, даже несмотря на вышесказанное, я рад, что наши люди на Родине способны делать неплохие продукты, молодцы. Со временем данный проект действительно становится все лучше и лучше. Но работы еще ой-ой сколько…
Почему она сейчас доступна с этого же домена, почему при инсталляции не предлагается установить ее в другое место? (или я ошибаюсь, и это уже сделали?)
В идеале админка должна быть вообще установлена только с возможностью входа изнутри сети банка, предприятия, и и т.д.
Если кому очень уж надо в админку заходить извне через интернет, тому админы могут и VPN сделать.
Далее, почему по умолчанию не ставится https для админки? (судя по скришнотам выше)
В идеале — отстановить инсталляцию, если нет возможности изпользовать https.
Потом, все установив, пусть админ сам отключает https на свой страх и риск, если головы нет (админка при этом должна очень ругаться, так как нарушается безопасность!), но по умолчанию система должна быть максимально защищена.
Но все равно, даже несмотря на вышесказанное, я рад, что наши люди на Родине способны делать неплохие продукты, молодцы. Со временем данный проект действительно становится все лучше и лучше. Но работы еще ой-ой сколько…
-1
Эммм, ну Йота тоже меня как-то под неким юзером pavel пустила в битрикс.
0
Но вообще, шикарная PR-двухходовка: сначала пост про банки и безопасность — куча народу реагирует, постит, читает, делится ссылками. Через некоторое время приходит Рыжик и постит развернутый «как бы ответ» с рекламой :)
Браво. Действительно, круто.
Браво. Действительно, круто.
+3
Я старался.
А если серьезно, цель была показать, что есть сферы бизнеса, в которых необходим здоровый консерватизм и трезвое отношение к правилам безопасности. И Битрикс тут ни при чем.
Я на 100% уверен, что управлять сайтом банка должен специалист изнутри инфраструктуры, в разрешенном диапазоне ip. Остальные в лес.
При этом у меня есть совершенно противоположное мнение про системы интернет-банкинга. Здесь все должно быть прозрачно и защищаться парой логин-пароль + каким нибудь переменным кодом, который можно таскать с собой, а не запрашивать через смс. Либо быть основанным на случайно заданном вопросе, на который вы и только вы знаете ответ.
Если эти три вещи соблюдаются — остальное неважно.
На деле во многих банках закрыты транзакции через интернет (для BSGV — необходим звонок), а это сложно реализовать находясь в поезде за границей. Работать в интернет-банке Альфы не получится, потому что Альфа не высылает сгенерированный код по смс, когда вы в международном роуминге.
Получается ситуация — сиди в пределах РФ и не рыпайся. И все это преподносится как забота о пользователе и борьба с киберпреступностью.
Этим постом хочется ткнуть некоторые банки, которые прикрываются заботой о безопасности в интернет и не дают нам нормально юзать PayPal, при этом не удосуживаются прочесть мануал по защите битрикса или хотя бы усилить защиту на уровне сервера.
А если серьезно, цель была показать, что есть сферы бизнеса, в которых необходим здоровый консерватизм и трезвое отношение к правилам безопасности. И Битрикс тут ни при чем.
Я на 100% уверен, что управлять сайтом банка должен специалист изнутри инфраструктуры, в разрешенном диапазоне ip. Остальные в лес.
При этом у меня есть совершенно противоположное мнение про системы интернет-банкинга. Здесь все должно быть прозрачно и защищаться парой логин-пароль + каким нибудь переменным кодом, который можно таскать с собой, а не запрашивать через смс. Либо быть основанным на случайно заданном вопросе, на который вы и только вы знаете ответ.
Если эти три вещи соблюдаются — остальное неважно.
На деле во многих банках закрыты транзакции через интернет (для BSGV — необходим звонок), а это сложно реализовать находясь в поезде за границей. Работать в интернет-банке Альфы не получится, потому что Альфа не высылает сгенерированный код по смс, когда вы в международном роуминге.
Получается ситуация — сиди в пределах РФ и не рыпайся. И все это преподносится как забота о пользователе и борьба с киберпреступностью.
Этим постом хочется ткнуть некоторые банки, которые прикрываются заботой о безопасности в интернет и не дают нам нормально юзать PayPal, при этом не удосуживаются прочесть мануал по защите битрикса или хотя бы усилить защиту на уровне сервера.
0
нужно поставить напоменалку, проверить эти сайты через недельку. И посмотрим, изменилось ли что :)
0
В одном банке, где я в свое время работал, доступ к админке был разрешен не просто только с банковских адресов, а еще и только при наличии клиентского сертификата. Таким образом, доступ был только у двух-трех сотрудников банка.
0
Как обычно — компьютер в руках туземцев — груда металлолома. Кривые руки и российское разгильдяйство
+2
> Теперь банки, которые закрыли доступ.
а баба Яга против!
нужно не 403 ставить, а 404 + логирование + алярмы + блокирование с таймаутом
а баба Яга против!
нужно не 403 ставить, а 404 + логирование + алярмы + блокирование с таймаутом
0
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Вы несете деньги в Банк, Банки несут деньги в Bitrix