След дълъг анализ на нашият CMS решихме да започнем надграждането от най-важното а именно от сигурността.

В новата ни версия "4.0.19" направихме няколко промени вдигащи нивото на сигурност значително за всички наши клиенти, ползващи ProVision CMS.


Първата "защита" е така наречената "brute force attak". Brute Force атаката представлява опит за налучкване на данни за достъп. Това могат да бъдат данни за достъп до хостинг акаунт, имейл акаунт, данни за достъп до администрацията на сайт и т.н., а в нашият случай, разбира се за администрацията на сайта Ви. Ние изградихме защита с която ограничаваме опитите за вход до 5 грешни за период от 10 минути. На практика разбиването на парола Ви за администраторският панел е невъзможно. В случаите които Вие сгрешите паролата сме интегрирали Security Captcha с която да можете да нулирате брояча за грешните опити. Също така сме интегрирали известяване на администраторският имейл адрес за всеки грешен опит за вход, с което Вие можете да предприемате и други мерки за ограничаването на опитите за хакване на сайта Ви или да съобщите за нередността на екипа по поддръжката в ProVision.


Следващата интересна защита е CSRF (Cross-site request forgery).

CSRF защита на ProVisionCSRF е широко използвана уязвимост в уеб приложенията. С тази атака, атакуващия може да наруши цялостта на потребителската сесия с уеб страница, като инжектира заявка по мрежата посредством браузъра на потребителя. Политиката на сигурност на браузърите позволява уеб адресите да изпращат HTTP заявка до който и да е мрежови адрес.

Накратко: CSRF е мястото, където злонамерен уеб сайт ще се опита да издаде действия по отношение на друг сайт, без знанието на потребителя. Действия на уеб сайтове винаги са свързани с форми - влизане в системата, прехвърляне на пари или публикуване на коментар в блога.
Интегрирахме CSRF система с която се генерира уникален ключ, когато потребител посети страница с форма. След изпращане на формата, сравняваме валидността на ключа и изпълняваме дадената заявката.