Политика безопасности

Политика безопасности - набор правил, ограничивающих возможность авторизации пользователей в целях обеспечения определенного уровня безопасности сайта. Политика безопасности настраивается для группы пользователей.

Правила настройки безопасности:

• привязка сессии к IP-адресу или к сети по маске - включение данной защиты делает бесполезным перехват идентификатора сессии. Данный тип защиты является важнейшим для защиты от XSS/CSS;
• настройка срока активности сессии, чтобы скорректировать настройки PHP на хостинге;
• настройка срока активности авторизации, хранимой на компьютерах посетителей («запомнить себя»), а также привязка ее к IP-адресу или к сети по маске. Использование данной защиты делает неэффективным любые XSS/CSS атаки на компьютер пользователя, а так же бесполезным похищение запомненных данных для авторизации с компьютера. Данные генерируются случайно, не содержат криптографической информации для анализа и не содержат IP-адрес данного компьютера.
• установка максимального количества одновременно запомненных авторизаций для одного пользователя. Если стоит ограничение 10, вы сможете запомнить себя только на 10 компьютерах с разными IP-адресами. После этого старые запомненные авторизации будут вытесняться и удаляться. Для администраторов данное правило устанавливается в 1.
• установка  срока активности контрольного слова для восстановления пароля - это правило позволяет минимизировать риски взлома через механизм восстановления при перехвате писем.

Для группы Администраторов установлен повышенный уровень безопасности. Изменить настройки безопасности можно на странице редактирования параметров группы. Для пользователей, которые принадлежат к нескольким группам, действует самое строгое правило безопасности по каждому из пунктов, т.е. самая строгая политика безопасности.

Список