Дело в том, что покупатель CMS «1С-Битрикс» получает вместе с дистрибутивом продукта еще и обновления, но они будут бесплатными лишь в течение года, а потом приходится платить. Причем, какими бы ни были используемая версия и число доступных для нее модулей, ежегодных «сборов» за актуальность CMS не избежать.

Вот и возникает популярная CMS-дилемма: платный «Битрикс» (www.1c-bitrix.ru) или все же бесплатный Drupal (www.drupal.ru)? Плюсы и минусы обоих вариантов известны, вот и приходится калининградским специалистам постоянно колдовать над рецептами своих уникальных «пряников», чтобы сохранить лояльность клиентов.

Позапрошлая весна прошла под знаком ускорения для «1С-Битрикс 6.0», да и в прошлом году «Битрикс 7.0» подарила пользователям много полезных функций. А что же вкусного приготовили разработчики в версии 8.0?

Когда мы знакомились с «восьмеркой» на практике, то заметили много нового: персональную настройку главной страницы, упрощенный визуальный редактор, веб-аналитику по городам и регионам. Но главное, появился новый модуль «Проактивная защита» на базе встроенного фильтра (Web Application Firewall). По заявлению разработчиков, это комплекс технических и организационных мер, сертифицированный компанией Positive Technologies и протестированный фирмой Aladdin. Модуль «Проактивная защита» включает в себя панель безопасности с уровнями защищенности, технологию одноразовых паролей, проактивный фильтр, защиту авторизованных сессий, контроль активности, защиту редиректов от фишинга, внешний контроль инфосреды, журнал вторжений, защиту административных разделов по IP, стоп-листы, контроль целостности скрипта.

Многое из перечисленного уже знакомо пользователям по предыдущей версии, так что выделим лишь подлинные инновации: одноразовые пароли и проактивный фильтр. К сожалению, с первой новинкой удалось познакомиться лишь в рамках пресс-релиза. Она подразумевает дополнительные расходы на безопасность и специальные брелки, генерирующие одноразовые пароли для авторизации. А вот как работает проактивный фильтр, мы исследовали на примере тестового сайта http://www.bikenews.ru.

Не секрет, что бывалый веб-программист может все сделать на свой лад, «не опускаясь» до рекомендованных функций и методов. Взять переменную прямо из запроса и сразу вставить в запрос к базе данных -- обычное дело. Вот и получается один удар -- две дырки сразу: SQL Injection плюс атака через XSS. Разгребать последствия таких трудов придется долго.

В случае же функционирования CMS «1С-Битрикс 8.0» подобные неприятности исключены. К стандартной политике безопасности продукта добавилась постоянная работа проактивного фильтра, проверяющего и анализирующего все обращения к сайту. В случае обнаружения вредоносных переменных и «кукисов» он способен на несколько минут заблокировать IP-адрес атакующего. Кстати, некоторые действия рядовых пользователей также могут выглядеть подозрительно и вызвать ложное срабатывание фильтра.

Все срабатывания фильтра «Проактивной защиты» заносятся в журнал событий «1С-Битрикс». Загляните туда хотя бы разочек, и у вас волосы встанут дыбом -– автоатаки на сайты проходят постоянно, а вот ложных сигналов не отмечается.

Уверены, клиенты, использующие систему «1С-Битрикс», осознают необходимость ее модернизации до версии 8.0 хотя бы по одному тому, что приобретут защищенность от ошибок безопасности (XSS, SQL Injection, PHP Including и др.).

Журнал событий тест-сайта www.bikenews.ru


Наступая на пятки

Не стоит думать, будто в Российской Федерации «1С-Битрикс» одинок на рынке платных CMS -- это не так. Если изучить на деле всевозможные варианты, то голова пойдет кругом. Поэтому ограничимся лишь списком самых удачливых конкурентов:


Рисунок