РАЗМАХАЙКА: Бесплатная альтернатива
Каждую весну все повторяется: одни его ждут с нетерпеньем, другие говорят: "да то же самое", а третьим он вообще не интересен. Речь идет о "Битриксе" - системе управления содержанием сайта (Content Management System или CMS, как еще именуют). И действительно, вот уже много лет подряд очередные поколения продукта "1С-Битрикс" становятся доступны именно в преддверии лета. Может от того последние версии этой CMS так схожи, на первый взгляд.
Но это только "на первый взгляд", ведь CMS "Битрикс" предстает в роли палочки-выручалочки для неискушенного администратора современного сайта. А изнутри код меняется гораздо заметнее: оптимизируются программные блоки, добавляются новые модули, появляются необычные возможности. И что же может раздражать пользователей со стажем?
Дело в том, что покупатель CMS "1С-Битрикс" получает дистрибутив программного продукта и всего год бесплатных обновлений, а дальше опять платить. Причем нет разницы, какая версия "Битрикса" работает на сайте или сколько доступных модулей появилось для вашей редакции системы управления содержанием – вам не избежать ежегодных "сборов" за актуальность CMS. И часто ожидания клиентов заметно превосходят функциональную планку долгожданных "допов" и "заплаток" от создателей "1С-Битрикса". Вот и возникает популярная CMS-дилемма: платный Bitrix ( www.1c-bitrix.ru ) или все же бесплатный Drupal ( www.drupal.ru )? Плюсы и минусы обоих вариантов известны, и калининградским специалистам приходиться постоянно колдовать над рецептами уникальных пряников, чтобы сохранить лояльность клиентов.
Помнится, позапрошлая весна прошла под знаком ускорения для "1С-Битрикс 6.0". В результате модернизации программных кодов CMS выросли скорости создания, управления и функционирования клиентских сайтов. А в прошлом году появление седьмой версии "Битрикс" подарило пользователям бесплатный модуль "Фотогалерея 2.0" (с многопользовательской поддержкой) и портальные блоги. Тогда же появились адаптивный интерфейс, HTML- кэширование, поддержка OpenID и Live ID. А что же вкусного приготовили в "1С-Битрикс" для нового цикла "лето-зима"?
Мы познакомились на деле с "восьмеркой" и много чего заметили нового: персональная настройка главной страницы (долгожданная возможность), упрощенный визуальный редактор (все в угоду скорости), "Веб-аналитика" по городам и регионам (пока с российскими городами беда), обновленные интерфейсы форумов и блогов. Но главное – новый модуль "Проактивная защита" на базе встроенного фильтра Web Application Firewall.
Журнал событий тест-сайта www.bikenews.ru
По заявлению разработчиков, это целый комплекс технических и организационных мер, сертифицированный компанией Positive Technologies и протестированный фирмой Aladdin - лидеры рынка информационной безопасности. Модуль "Проактивная защита" включает в себя панель безопасности с уровнями защищенности, технологию одноразовых паролей, проактивный фильтр, защиту авторизованных сессий, контроль активности, защиту редиректов от фишинга, внешний контроль инфосреды, журнал вторжений, защиту административных разделов по IP, стоп-листы, контроль целостности скрипта.
По большому счету, многое перечисленное уже давно знакомо клиентам по "семерке", так что выделим из списка лишь две подлинные инновации: одноразовые пароли и проактивный фильтр. К сожалению, с технологией одноразовых паролей удалось познакомиться лишь в рамках пресс-релиза. Она подразумевает дополнительные расходы на безопасность и специальные брелки, генерирующие одноразовые пароли для авторизации. А вот работу проактивного фильтра испытали на примере тестового сайта www.bikenews.ru.
Не секрет, что бывалый веб-программист может все сделать на свой лад, "не опускаясь" до рекомендованных функций и методов. Взять переменную прямо из запроса и сразу вставить в запрос к базе данных – типичная история. Вот и получается один удар - две дырки сразу: SQL Injection, плюс атака через XSS. "Разгребать" последствия придется долго.
В случае работы CMS "1С-Битрикс" подобные проколы исключены. К стандартной политике безопасности продукта добавилась постоянная работа фильтра Web Application Firewall. Он проверяет и анализирует все обращения к сайту и в случае обнаружения вредоносных переменных и "кукисов" может заблокировать IP-адрес атакующего на несколько минут. В теории и некоторые действия безобидных пользователей могут выглядеть подозрительно и вызывать ложное срабатывание фильтра.
В любом случае все срабатывания фильтра "Проактивной защиты" заносятся в журнал событий "1С-Битрикс". Загляните туда разочек и волосы встанут дыбом – автоатаки на сайты проходят постоянно, а вот ложных сигналов мы не отметили.
Уверены, апгрейд до "восьмерки" является осознанной необходимостью клиента "1С-Битрикс", хотя бы по соображениям защищенности от возможных ошибок безопасности (XSS, SQL Injection, PHP Including и ряд других).
Брелки для авторизации, генерирующие одноразовые пароли
Наступая на пятки
Только не стоит думать, будто в Российской Федерации "1С-Битрикс" одинок на рынке платных CMS – это не так. И если изучить на деле всевозможные варианты, голова пойдет кругом. Поэтому ограничимся лишь списком самых удачливых конкурентов:
