plus1 Content Management System & eCommerce 8.0

23.04.2009

"plus1 Content Management System & eCommerce 8.0" enthält ein neues Modul "Proaktiver Schutz", das einen besseren Schutz Ihrer Projekte mithilfe von eingebautem proaktiven Filter (Web Application Firewall) bietet.

Die Einzigartigkeit von diesem System besteht darin, dass das Modul sowie der proaktiver Filter in das System integriert sind! Es wurden auch andere wichtige und zukunftsorientierte Änderungen und Verbesserungen der Modulen vorgenommen:Hauptmodul, Datei-Manager, Suche, soziales Netz, eShop und der Performance-Monitor.

Die wichtigsten Neuerungen 8.0:

  • Proaktiver Schutz
  • Vereinfachter visueller Editor
  • Dashboard
  • Ajax-Bestellprozess innerhalb einer Seite
  • Banner-Geotargeting
  • Statistiken, geordnet nach Städten und Regionen
  • Verbesserte Flash-Unterstützung
  • Neue Forum- und Bloginterfaces

Proaktiver Schutz

Proaktiver Schutz – ist ein komplexes System, das technische und organisatorische Aspekte bietet, um die Sicherheit bereits vorhandener Module und Webservices zu erweitern und zu verbessern. Das neue Modul „Proaktiver Schutz“ ist mit einem „Positive Technologies“ Zertifikat ausgezeichnet und wurde durch Aladdin getestet.

Systemübersicht des Moduls „Proaktiver Schutz“:

  • Security Control Panel
  • Proaktiver Filter (Web Application Firewall)
  • Authentisierungs-Token mit One-Time-Password (OTP)
  • Session-Schutz Aktivitätskontrolle
  • Schutz vor Phishing-redirects *
  • Verschlüsselung der SSL-Übertragung *
  • Angriffsstatistik
  • Schutz der administrativen Bereiche über IP
  • Stop-Liste
  • Skriptüberwachung auf Vollständigkeit
  • Empfehlungen für die Einrichtung des Moduls *
  • Updates-Monitor*
* - Noch in der Entwicklung

Proaktiver Filter (Web Application Firewall)

Proaktiver Filter WAF– (Web Application Firewall) – schützt Ihre Projekte von allen bereits bekannten Angriffen von außen. Bei Zugriffen auf Ihre Projekte erkennt der Filter mögliche Angriffe und blockiert den Zugriff auf die Seite. Der Proaktive Filter bietet den effizientesten Schutz gegen mögliche Fehler, die bei der Projektentwicklung entstehen konnten, wie z.B. XSS, SQL Injection, PHP Including und andere. Die Arbeitsweise des Filters beruht auf der Analyse und Filterung aller Daten, die von Usern über die Variablen oder Cookies geliefert werden.
*Beachten Sie bitte, dass manche Useraktivitäten, die nicht bedrohlich sind, vom System trotzdem als solche erkannt und blockiert werden können.

Möglichkeiten

  • Schutz gegen die meisten bekannten Angriffe auf Web-Anwendungen
  • Monitoring für die meisten verbreiteten Angriffsarten
  • Liste der Filter-Ausnahmen mit Hilfe von einer Eingabemaske
  • Erkennung der gefährlichsten Bedrohungen
  • Sperre gegen Angriffsversuche
  • Schutz gegen mögliche Fehler
  • Angriffsstatistik
  • Benachrichtigung der Administratoren über mögliche Angriffsversuche
  • Einstellung der Reaktion des Systems auf mögliche Angriffsversuche:
    • Datenschutz
    • Bereinigung der als gefährlich eingestuften Daten
    • Die IP-Adresse des Angreifers für xx Minuten auf die Stop-Liste setzen
    • Angriffsversuch protokollieren
  • Reguläre Produkt-Updates

Security-Panel mit Sicherheitseinstellungen

Jedes Projekt, das mit „plus1 – Content Management System(CMS) & eCommerce“ oder „plus1 – Intranet Software“ aufgebaut wird, besitzt eine Standard-Sicherheitseinstellung. Mit Hilfe des Moduls „Proaktiver Schutz“ kann man die Sicherheit bedeutend erhöhen. Sie müssen eine für Ihre Ansprüche passende Sicherheitsstufe (Mittel, Mittelhoch oder Hoch) aussuchen und einstellen. Dabei werden Ihnen Hilfestellungen geboten und Empfehlungen ausgesprochen, damit Sie das Modul optimal für Ihr Projekt einstellen können.

  • Standart-Sicherheitsstufe besitzen alle Projekte, die ohne das Modul „Proaktiver Schutz“ aufgebaut werden.
  • Mittlere Sicherheitsstufe:
    • Proaktiver Filter für das komplette Projekt ohne Ausnahmen
    • Angriffsstatistik für die letzten 7 Tage
    • Aktivitätskontrolle
    • Für Administratoren gilt die höchste Sicherheitsstufe
    • Verwendung von CAPTCHA bei der Registrierung
  • Mittelhohe Sicherheitsstufe – Einstellungen der mittleren Sicherheitsstufe und:
    • Protokollierung der Ereignisse des Hauptmoduls
    • Schutz des administrativen Bereichs
    • Sessions werden in der Datenbank gespeichert
    • Session ID’s werden erneuert
  • Hohe Sicherheitsstufe – spezielle Schutzmechanismen für Seiten, die sensible Daten oder persönliche Userdaten enthalten. Zusätzliche Einstellungen zu der mittelhohen Sicherheitsstufe:
    • One-Time-Password
    • Kontrolle des Kontrollskripts auf Vollständigkeit

Angriffsstatistik

In der Angriffsstatistik werden alle Systemereignisse registriert. Alle Einträge werden nach einem Ereignis sofort gelistet. Dies erlaubt, Angriffe als solche zu identifizieren und sofort zu reagieren. So können Sie die Gegenmaßnahmen einleiten oder solche Angriffe vorbeugen.

  • Umgehende Registrierung aller Ereignisse im System
  • Nach der automatischen Reaktion des proaktiven Filters werden die Statistikeinträge folgenden Kategorien zugeordnet:
    • SQL-Injektion
    • Angriff über XSS
    • Angriff über PHP
  • Filter nach Kategorien
  • Live-Ansicht der Ereignisse
  • Sofortige Reaktion und Gegenmaßnahmen auf einen Angriff
  • Abwehr und Prävention von Angriffen anhand von deren Analysen

One-Time-Password (OTP)

Das Modul „Proaktiver Schutz“ ermöglicht Ihnen den Einsatz von einem One-Time-Password für ausgewählte User. Empfehlenswert ist es, dieses System für die Administratoren einzusetzen, weil damit die Sicherheitsstufe dieser Usergruppe erheblich erhöht wird. Um das One-Time-Password erfolgreich einsetzen zu können, benötigen Sie z.B. einen Aladdin eToken PASS oder eine Lösung, die dem OTP-Standard entspricht.

Warum One-Time-Password?
Sie haben eine hundertprozentige Sicherheit, dass nur der User, der diesen eToken besitzt, auch auf die Seite zugreift. Weil dieses Passwort nur einmal vergeben wird, ist Passwort- Fishing oder -Sniffing zwecklos.

  • erhöhte Projektsicherheit
  • Einsatz von Hardware
  • Einsatz von Software mit OTP-Standard
  • Erweiterte Autorisierung auf der Seite – zusätzlich zum Loginnamen und Systempasswort muss das One-Time-Password eingegeben werden
  • Bei der Initialisierung müssen zwei hintereinander generierten Passwörter eingegeben werden
  • Wiederherstellung der Synchronisation bei Unregelmäßigkeiten im System und eToken

Dateikontrolle auf Vollständigkeit

Die Dateikontrolle ist erforderlich, um sicher zu stellen ob Systemdateien verändert worden sind. Sie können zu jeder Zeit die Integrität des Kernels, der Systemdateien oder auch der Dateien im öffentlichen Teil überprüfen.

  • Verfolgung der Änderungen auf dem File-Server
  • Integritätskontrolle des Kernels
  • Kontrolle der Systemdateien
  • Kontrolle des öffentlichen Bereichs
  • Integritätskontrolle des Kontrollskripts
  • Passwortschutz des Kontrollskripts

Schutz des administrativen Bereichs

Diese Schutzoption bietet Ihnen die Möglichkeit, die Zugriffe für Administratoren nach IP-Netzen zu begrenzen. Sie legen eine Liste der IP-Adressen oder –Bereiche fest, von denen der Zugriff auf den administrativen Bereich gestattet wird. Eine Selbstsperrung bei der Vergabe der IP-Adressen ist unmöglich, weil das System diesen Vorgang überwacht. Ihre Vorteile beim Einsatz von diesem System: Jeder XSS/CSS Angriff ist nicht effektiv und Datendiebstall sinnlos.

  • Begrenzung des Zugriffs auf den administrativen Bereich nach IP-Bereichen oder Adressen
  • Automatische Erkennung der IP-Adresse
  • Manuelle Eingabe der erlaubten IP-Adresse

Schutz der Sessions

Die meisten Angriffe auf Web-Anwendungen haben als Ziel, an die Sessiondaten eines Users zu gelangen. Der Session-Schutz macht die Übernahme von Sitzungsdaten, vor allem die der Administratoren unmöglich. Welche Mechanismen werden verwendet? Session-Schutz erweitert die standardisierten Einstellungen im System. Session-Daten werden in der Modul-Datenbanktabelle gespeichert, so können diese Daten durch den Einsatz von anderen Skripten auf dem gleichen Server nicht gelesen werden. Konfigurationsfehler des virtuellen Hostings, oder Fehler beim Verteilen der Zugriffsrechte auf temporäre Dateien und andere Konfigurationsfehler haben keine Auswirkung auf die Sicherheit der Session-Daten. Außerdem wird die Belastung zwischen dem File-Server und der Datenbank verteilt.

  • Session-Schutz durch den Einsatz verschiedener Verfahren
    • Session-Dauer
    • Austausch der Session-ID mehrmals pro Sitzung
    • Session wird an eine IP gebunden
    • Session-Daten werden in der Modul-Datenbanktabelle gespeichert
  • Kompensierung von Fehlern beim Konfigurieren des virtuellen Hostings
  • Kompensierung von Fehlern bei der Vergabe der Zugriffsrechte auf temporäre Dateien
  • Vermeiden von fehlerhaften Einstellungen des Betriebssystem
  • Entlastung des File-Servers
  • Datendiebstall wird unwirksam

Aktivitätskontrolle

Die Aktivitätskontrolle ermöglicht den Schutz gegen zu aktive User, Bots, einige DDoS-Angriffe und die Abwehr von Brute-Force-Attacken. Sie bestimmen maximale User-Aktivität für Ihre Seite, z.B. Anzahl der Anfragen pro Sekunde, die ein User ausführen darf.
* Die Aktivitätskontrolle greift auf das Modul „Webstatistik“ zurück, so ist diese Funktion nur in Produktversionen, die das Modul „Webstatistik“ beinhalten, verfügbar.

  • Schutz gegen zu aktive User
  • Schutz gegen die Bots
  • Schutz gegen einige DDoS-Angriffen
  • Abwehr von Brute-Force-Attacken
  • Maximale User-Aktivität
  • Eintrag bei der Limit-Überschreitung in der Angriffsstatistik
  • Sperrung der User, die das festgelegte Limit überschritten haben
  • Anzeige der Informationsseite für den gesperrten User

Sperrliste

Sperrliste – ist eine Liste mit Zugriffsbeschränkungen. Alle User, deren IP-Adressen auf der Sperrliste aufgeführt ist, werden sofort blockiert.

  • Weiterleitung der User, die den Parametern der Sperrliste entsprechen
  • Sperrung der User, deren IP-Adressen auf der Sperrliste stehen
  • Manuelle Pflege der Sperrliste
  • Zugriffsauswertung der gesperrten User
  • Einstellung des Zeitraums für die Sperrung einer IP-Adresse, eines IP-Bereichs, UserAgent oder auch einer URL, von der der Zugriff erfolgte
  • Individualisierung der Informationsseite für die gesperrten User
Das Modul „Proaktiver Schutz“ ist ab Version „Standard“ für „plus1 – Content Manager System (CMS) & e-Commerce“ sowie für „plus1 – Intranet Software“ verfügbar. Alle Kunden, die eine Produkt-Lizenz und das Service-Paket besitzen, können dieses Modul, wie gewohnt, über den SiteUpdate-Manager installieren.

Weitere Neuigkeiten 8.0

  • Dashboard – individuelle Einstellungen der Startseite – ein Portal-User kann seine eigene Startseite gestalten, indem er dort für ihn wichtige oder interessante Informationsblöcke positioniert
  • Neue Forum- und Blog-Interfaces - Templates können angepasst werden
  • Zufügen von Videodateien zu den Beiträgen möglich
  • Im Onlineshop besteht, mittels AJAX Technologie, die Möglichkeit, eine Bestellung von einer Seite aus abzuschließen. Diese Aufgabe übernimmt eine neue Komponente: bitrix:sale.order.ajax
  • Geotargeting für das Modul „Werbeflächenverwaltung“
  • Geotargeting für die Auswertung nach Ländern, Regionen und Städten im Modul „Webstatistik“
  • Vereinfachter visueller Editor

Vereinfachter visueller Editor

Der neue Editor bietet Ihnen eine einfache Form des bestehenden WYSWYG-Editors. Textabschnitte können damit schnell und auf einfache Weise bearbeitet werden wie z.B. Texte, Bilder oder auch Videos. Durch die minimale Auswahl von Werkzeugen, ist eine schnelle Performance gewährleistet. Der vereinfachte visuelle Editor ist in Form von einer Komponente realisiert, die überall auch im öffentlichen Bereich eingesetzt werden kann.

  • Minimierte Funktionalität ermöglicht leichte Bedienung
  • Schnelle Performance
  • Die Toolbar des Editors kann auf dem Bildschirm verschoben und beliebig positioniert werden
  • Einstellungen für den Editor und die Toolbar wie Interface, Breite, Höhe
  • Positionierung von Bedienelementen ist individuell belegbar
  • Bestimmung von Schriftarten und –Größen
  • Positionierung von Videos im Text mit Größenangabe
  • Farbpalette
  • Kontextmenü für Elementen wie z.B. für Link, Bild, Video
  • Wird von IE7, FF3, Opera 9.5, Google Chrome, Safari unterstützt