Безопасность сайтов под управлением HostCMS

Меры обеспечения безопасности

Система управления использует расширенные методы обеспечения безопасности:

• Единая система авторизации и контроля прав доступа на уровне ядра системы.
• Доступ по защищенному протоколу HTTPS (SSL/TLS).
• Ограничение времени активности сессии применяется для пользователей центра администрирования и пользователей сайтов.
• Привязка сессии к IP-адресу исключает использование сессии при перехвате её идентификатора злоумышленником.
• Хранение сессий в базе данных исключает получение сессии из общего каталога хранения сессий виртуального хостинга.
• Хранение паролей в виде хэш-кода¹ исключает восстановление пароля в первоначальном виде.
• Журналирование действий, осуществляемых в центре администрирования, событий и ошибок системы управления.
• Минимальное ограничение на длину пароля пользователя центра администрирования составляет 5 символов.

Права пользователей центра администрирования

В системе управления применяется мандатная политика безопасности, при которой права доступа к разделам системы устанавливаются для групп пользователей.

Группа пользователей имеет два уровня прав:

1. права доступа к модулям;
2. права доступа к действиям форм (например, действие «Удалить» формы «Информационные системы»), содержащихся в модулях.

Суперпользователи (пользователи с флагом «Привилегированный») имеют максимальные права и доступ ко всем действиям всех сайтов, поддерживаемых экземпляром системы управления.

Пользователь с установленным атрибутом «Доступ только к созданным пользователем элементам» имеют право действий только над теми элементами, которые он создал сам или над элементами, не имеющими владельца. Атрибут «Доступ только к созданным пользователем элементам» не действует на привилегированных пользователей.

Права доступа к модулям позволяют разграничить управление модулями каждого сайта. Например, редакторам сайта нет необходимости иметь доступ к разделу «Типовые динамические страницы» или «SQL-запросы».

Права доступа к действиям позволяют провести тонкую настройку прав на выполнение действий форм. Администратор имеет возможность предоставить пользователям доступ ко всем действиям формы как с помощью групповых операций «Разрешить все действия» и «Запретить все действия», так и с помощью подробной настройки прав.

¹Хэш-код — результат преобразования данных произвольной длины в строку фиксированной длины, при которых изменение входных данных приводит к непредсказуемому изменению выходных данных. Однозначное соответствие между исходными данными и хэш-кодом отсутствует.