Для предотвращения таких угроз безопасности персональных данных и всего содержимого портала, как кражи cookie-файлов аутентификации посредством межсайтового скриптинга, внедрение SQL-кода, подделка межсайтовых запросов и других, рекомендуется пользоваться следующими методами:
- разрешать доступ к порталу только по HTTP с SSL-шифрованием (Secure Sockets Layer – уровень защищенных сокетов) для предотвращения атак “человек посередине”. Это не позволяет третьим лицам вмешиваться в сессию и получать конфиденциальную информацию;
- использовать cookie-файлы аутентификации с атрибутом HttpOnly и привязывая их к IP-адресу пользователя портала для предотвращения краж cookie-файлов;
- провести ряд независимых тестов с целью выявления возможных уязвимостей, чтобы убедиться, что порталы TeamLab отвечают самым современным требованиям безопасности и устойчивы к возможным хакерским атакам;
- позволить только самому пользователю изменять свой пароль с помощью специальной ссылки, отправленной на зарегистрированный адрес электронной почты. TeamLab не отправляет пароли по электронной почте и не предоставляет администратору соответствующих прав;
- предоставлять полномочия на создание резервной копии только владельцу портала, чтобы избежать возможных утечек приватных данных.
На что Вам следует обратить внимание
Убедитесь, что Вы, как администратор, задали все настройки портала в полном соответствии с требованиями безопасности. Особое внимание уделите следующим параметрам:
- Настройки доверенных почтовых доменов. Они позволяют Вам указать почтовые серверы, которые могут использовать пользователи при самостоятельной регистрации в TeamLab. По умолчанию эта возможность отключена. Но, если Вы выберете опцию Любые домены, пожалуйста, обратите внимание, что любой человек, которому известен адрес портала, сможет зарегистрироваться, щелкнув по ссылке “Присоединиться” на главной странице и введя адрес электронной почты. Опция Пользовательские домены позволяет указать почтовые серверы, которым Вы доверяете, например, ваш корпоративный домен. Таким образом, если на Вашем портале содержится очень важная частная или корпоративная информация, убедитесь, что настройки доверенных почтовых доменов отключены, и используйте только пригласительную ссылку для добавления людей на портал. Эту ссылку можно вставить в электронное письмо и отправить тем, кого еще нет на портале, чтобы они могли к нему присоединиться. Ссылка действительна в течение 3 дней.
- Настройки надежности пароля. Воспользуйтесь ими, чтобы определить надежность пароля при сопротивлении угадыванию и прямому подбору. Используйте ползунок Минимальная длина пароля, чтобы установить, насколько длинным должен быть пароль, чтобы считаться надежным. Установите соответствующие флажки ниже, чтобы определить, какой набор символов должен использоваться в пароле.
При загрузке файлов на портал, пожалуйста, обратите внимание на следующее:
- изображения, добавленные в блоги, события, обсуждения в Проектах и комментарии могут быть доступны по прямой ссылке без аутентификации;
- прямые ссылки на прикрепленные файлы в форумах, wiki-файлы и изображения в разделе Фото являются временными и действительны для неавторизованного доступа только в течение 15 минут после публикации на портале;
- ссылки на файлы, сохраненные в модулях Проекты, Документы и CRM, доступны только для авторизованного использования и только для пользователей обладающих соответствующими правами.
TeamLab – безопасность и надежность