140x140

Система Автоматизированной Разработки

Bitrix vs Contento часть 2 Безопасность

Bitrix vs Contento часть 2 Безопасность

2018-03-15

Сегодня мы расскажем про систему безопасности в Bitrix, точнее про её отсутствие. Сравним одни и теже вещи с Contento. Докажем и покажем как мы это умеем.

Если прочитать официальный сайт Bitrix-а по безопасности, то сначала может показаться, что у Bitrix настолько все с этим идеально, что даже сложно что-то сказать плохое. Но у нас есть веские аргументы.

Система безопасности любых веб-приложений строится на нескольких прослойках, а именно:

  1. сервер
  2. веб-сервер
  3. движок (закрытая часть)

Сервер

Думаю и так понятно, что если на вашем сервере стоит уязвимое программное обеспечение, то любому хакеру не составит труда проникнуть на ваш сервер и украсть ваши супер секретные данные. Поэтому для любого проекта, которому требуется защита от нападений в первую очередь нужно думать о том где найти хорошего системного администратора, который будет следить за актуальностью программного обеспечения, состоянием портов на сервере. Вобщем защищенный сервер - это первый путь к защите вашего проекта в сети интернет. Первый, но далеко не последний.

Веб-сервер

Веб-сервер является отдельной прослойкой, так как он отвечает за генерацию ответов на запросы пользователей при посещении вашего веб-сайта. Бывают даже случаи когда это может привести к катастрофическим последствиям. Именно поэтому хорошо настроенный веб-сервер - это еще одна прослойка, которая позволяет обеспечить безопасность вашему проекту в сети Интернет.

Движок

Движок веб-проекта является архи важным элементом не только потому, что на нем базируется ваш веб-сайт. Но и потому что получить доступ к вашему серверу можно через ваш движок. Путь для получения доступа к вашим секретным данным возможен двумя путями.

Первый путь - это через пользовательскую часть, которая доступна всем. Соответственно, если программист накосячит в публичной части - хакер без труда получит доступ к вашей ценной информации, так как это публичная часть.

Более сложным механизмом для получения доступа является закрытая часть. Она же административная панель. Проблемой абсолютно всех CMS является одна и та же беда, а именно то, что все что нужно для доступа в закрытую часть - это подбор логина и пароля . Либо поиск способа обхода доступа в закрытую часть. У читателя возникнет вопрос, а как же сам собственно поиск пути до закрытой части. Тут все предельно просто. У всех CMS один и тот же путь к админ.панели. Вот например, в этой статье описывается как это работает и какой у CMS путь до админ.панелей

Собственно с bitrix такая же история. По умолчанию путь до админ.панели в Bitrix это /bitrix/admin/index. Чисто с профессиональной точки зрения, нам было интересно возможно ли поменять путь до админ.панели в Bitrix или нет. Потому что если почитать опять же их реализацию по обеспечению безопасности, то начинаешь верить что Bitrix может все.

Окей приступим. С точки зрения правильной архитектуры для того, чтобы все работало, нужно поменять всего лишь ссылки в корневых файлах с bitrix на newbitrix и все должно работать. Открываем файл index.php и меняем в нем ссылки с bitrix на newbitrix . Поменяли сохранили, открываем сайт. И что мы видим?

Открываем папку newbitrix и смотрим файлы в ней и пытаемся изменить ссылки в ней. Хотя по идее, зачем прописывать полный путь до нужных файлов внутри нужной папки? Если лучше сделать относительный путь. Вообщем, после потраченного впустую часа, мы пришли к выводу, что цель, которую мы поставили перед собой - не выполнимая. Пруфы один два три четыре

Contento настало твое время

В Contento адрес админ.панели указывается прямо на этапе установки

В случае если вы уже установили систему, то адрес админ.панели можно поменять прямо в файле /config.php

Выводы. Безопасность очень важна. И чем больше возможностей и настроек по базовой безопасности предоставляет продукт, тем лучше. Что проще взломать: то где ты уже знаешь адрес админки или где адрес админки неизвестен? Ответ предельно очевиден. Мало того, что Contento позволяет ввести любой адрес админки. Contento позволяет сделать адрес админки, который будет динамическим и условия, по которым адрес админки будет меняться, зависит только от вас. И это круто!