HostCMS: комплексная безопасность сайта
Благодаря такой системе управления удается внедрить более расширенные методы, позволяющие обеспечить безопасность веб-сайтов.
Меры обеспечения:
Единая система контроля и авторизации на уровне ядра всей системы;
Работа с защищенным протоколом HTTPS (SSL/TLS);
Ограниченное время сессии на ресурсе (для пользователей сайта и центра администрирования);
Привязка по IP-адресу (исключает вероятность использования сессии при перехвате ее идентификатора злоумышленниками);
Хранение сессии в БД (делает невозможным получение сессии из общей базы хранения сессий на облачном хостинге);
Хранение паролей в формате хеш-кода (не позволяет восстановить пароль в его первозданном виде);
Журналирование всего происходящего в центре администрирования, а также ошибок и событий системы управления;
Нижний предел количества символов в пароле составляет 5 символов, что дополнительно повышает безопасность сайта.
Инструкция для пользователей центра администрирования
Данная система придерживается мандатной политики безопасности, что предполагает наделение правами доступа к определенным разделам системы конкретной группы пользователей.
Выделяют две группы пользователей:
- пользователи, имеющие права доступа к модулям;
- пользователи, имеющие возможность совершать действия с формами (допустим, действие «Создать» формы «Информационные системы»), присутствующими в модулях.
Суперпользователь («Привилегированный»). Этот пользователь получает максимальные права и максимально возможный доступ ко всем действиям всех ресурсов, которые поддерживаются экземпляром данной системы управления. Данный пользователь может беспрепятственно проверить сайт на вирусы, выполнить аудит безопасности сайта, лечение сайта от вирусов и удаление вирусов с сайта.
Пользователь с возможностью доступа только к созданным им же элементам получает право совершать действия только над выше упомянутыми элементами либо же над теми элементами, у которых нет определенного владельца. На привилегированных пользователей атрибут «Доступ только к созданным пользователем элементам» не распространяется. Проще говоря, защита сайта от взлома таким пользователем обеспечена быть не может, им также не может быть выполнена глубокая проверка сайта на безопасность, но такой пользователь может выполнить поиск вируса на сайте и провести лечение сайта с использованием специально предусмотренного софта.
Пользователи, имеющие права доступа к определенным модулям, не имеют возможности работать с другими модулями. Так, если ваша прямая обязанность – защита сайта от вирусов, вам нет необходимости иметь доступ к разделу редактора ресурса.
Права доступа к действиям дают возможность выполнить точную настройку прав на совершение действий форм. Администратор может позволить пользователям либо совершать абсолютно все действия, в том числе и анализ сайта на вирусы, либо же сделать выборочную настройку, соответствующую установленным требованиям.