Стальная CMS

Рынок программного обеспечения предлагает множество готовых и универсальных решений для создания продвинутых по функциональности Web-порталов. Построить на их основе сайт в стиле WEB 2.0 - дело нескольких кликов мышки. Такой функционал и универсальность не может не радовать.

К сожалению, далеко не все производители уделяют должное внимание подготовке демонстрационных материалов, рассказывающих, насколько безопасен их продукт и какие используются технологии для достижения нужного уровня защиты. Компания "1С-Битрикс" всегда открыта и старается предоставить клиентам максимум информации о своем продукте, поэтому такая важная тема, как "безопасность", не оставлена без внимания.

Последствия взлома

Главным требованием при выборе Web-приложения (далее все будет касательно CMS) должна быть именно безопасность, а не только функциональные возможности. Почему же так важно изначально подумать о выборе защищенного решения для Web?

Первое, что нужно четко уяснить: виртуальное представительство вашей компании и сама компания - это одно неделимое звено. Соответственно взлом сайта - это удар по всей вашей компании, а любой удар подразумевает под собой всевозможные убытки, степень которых во многом зависит от деятельности организации. Если ваш сайт служит в качестве "визитки", то убытки скорей обернутся потерей клиентов.

Совсем иные убытки будут у компаний, для которых сайт -это не просто виртуальная визитная карточка, а средство получения прибыли (например, Интернет-магазин). Взлом таких проектов обязательно влечет за собой финансовые потери, а также потерю драгоценных клиентов (причем как новых, так и старых). Для любого покупателя в Интернете важна безопасность. Согласитесь, никому ведь не захочется, чтобы сведения о совершенных покупках или (что гораздо хуже) данные о кредитной карте стали доступны кому-нибудь еще!

Почему многие Web-приложения небезопасны

Перед тем как перейти к рассмотрению системы безопасности "1С-Битрикс", поговорим о защищенности Web-приложений в целом и раскроем предпосылки и ситуации, заставляющие разработчиков создавать небезопасные приложения.

Условно можно выделить пять ключевых проблем:

1. Сжатые сроки.
2. Некомпетентность программиста.
3. Отсутствие beta-тестеров.
4. Бесконечное изобретение "велосипедов".
5. Неосведомленность разработчиков.

Учитывая эти факторы, следует сказать, что система управления контентом является более безопасной и эффективной по сравнению с самописной системой.

Знакомьтесь, "1С-Битрикс"

Теперь рассмотрим преимущества программного продукта от отечественного производителя - компании "1С-Битрикс".

1. Шифрование данных. Обеспечить безопасность передачи конфиденциальных данных от клиента на сервер невозможно без использования шифрования. "1С-Битрикс" поддерживает самый распространенный промышленный стандарт шифрования SSL в рамках протокола HTTPS. Кроме того, для построения защиты Web-pecypca "1С-Битрикс" поддерживает такие алгоритмы шифрования, как ГОСТ Р 34.10-94 и ГОСТ 34.11-94 (используются для создания и проверки цифровой подписи, позволяющей аутентифицировать клиента по TLS-соединению), ГОСТ 28147-89 (обеспечение конфиденциальности и целостность передачи информации по TLS-соединению).
2. Детальные логи. Система позволяет контролировать абсолютно все действия пользователей. Благодаря этому можно легко определить, кто из пользователей наслаждался изучением вашего ресурса, а кто пытался получить несанкционированный доступ к его содержимому.
3. Безопасный API для разработчиков. У каждого проекта свои особенности, которые зачастую невозможно реализовать в рамках типового решения. Все CMS позволяют расширять свой функционал за счет новых модулей, которые можно создавать самостоятельно. Несомненно, это правильный подход, но не во всех CMS этот подход качественно реализован. В "1С-Битрикс" эта технология достаточно хорошо отлажена и продумана до мелочей. Разработчику предоставляется специальный набор безопасных функций, классов (API), с помощью которых он может реализовать необходимую логику. Такой подход позволяет упростить разработку и исключить множество ошибок в безопасности.
4. SiteUpdate. Реализованная технология автоматического обновления позволяет оперативно исправлять всевозможные ошибки, обнаруженные в коде продукта. Допустим, в системе была обнаружена уязвимость и для ее исправления необходимо срочно "пропатчить" некоторые сценарии. В большинстве CMS такого рода задачи обычно приходится решать вручную, в "1С-Битрикс" решение этой задачи настолько просто, что установить обновление сможет любой, даже слабо подготовленный пользователь.
5. Двухуровневая система разграничения прав. Построенная система разграничения прав доступа пользователей позволяет более качественно установить запреты и дозволения. Первый уровень определяет права доступа к файлам и каталогам, а второй доступ - к модулям и логическим операциям в модулях.
6. Фильтрация всех данных. "Умный" механизм фильтрации полученных и отправленных данных исключает возможность проведения таких атак, как SQL Injection, XPath Injection, Cross Site Scriptig, RFI и т.п.
7. Контроль сессий. Тщательная фильтрация и эксклюзивная проверка абсолютно всех данных позволяют забыть о том, что сессия может быть кем-то перехвачена.
8. Безопасность "1С-Битрикс" -безопасность, подтвержденная специалистами. Компания "1С-Битрикс" - одна из немногих, которая может похвастаться наличием сертификата от известной в области безопасности компании Positive Technologies.