Уровень безопасности

Собственный механизм авторизации:

E-logic CMS не использует стандартный метод авторизации средствами HTTP протокола в следствии его уязвимости. Вместо этого используется собственный механизм авторизации который работает по следующей схеме:

  • Пользователь вводит логин и пароль.
  • Система проверяет наличие данного пользователя в системе и правильность пароля, активность учетной записи пользователя и присутствие пользователя хотя бы в одной из активных групп.
  • Система проверяет фильтр IP-адресов для данного пользователя
  • Система загружает данные профиля пользователя.
  • Далее система проверяет доступность запрашиваемого пользователем ресурса и если этот ресурс доступен, в ответ посылает данные http-ответа.
  • При последующих запросах пользователя механизм упрощается до простой проверки прав пользователя на запрашиваемый ресурс.

Рис. 1. Схема авторизации

Дополнительные средства защиты:

  • В системе E-logic CMS имеется возможность разрешить/не разрешить авторизацию/доступ только с определенных IP-адресов или масок IP-адресов. Типовые решения разрешения прав доступа по маскам IP-адресов изображены на схеме.
  • Если данные передаваемые пользователями исключительно важны, возможно применение SSL-протокола.

Разграничение прав доступа:

В E-logic CMS используются как ролевые так и объектные права доступа. В системе существует несколько системных групп пользователей (количество системных груп может меняться от версии к версии). Некоторые из систменых групп дают пользователю определенные права на управление подсистемами для которых применение объектных прав оказывается бессмысленным, например: Подсистема управления пользователями, Подсистема управления справочниками и.т.д

Объектные права доступа используются в тех подсистемах, в которых подразумевается такое понятие, как владелец объекта (т.е пользователь создавший данный объект). Объектные права E-logic CMS прнципиально напоминают списки доступа (ACL) в ОС Windows, где для каждой группы пользователей, либо конкретного пользователя могут быть установлены индивидуальные права доступа к объекту. Для ускорения быстродействия ,а так же для уменьшения объема списков доступа возможно использовать наследование прав. В данном случае типовые права для создаваемых объектов будут определяться не правами самого объекта, а суммой прав рассматриваемого объекта и родительского объекта, т.е. каталога в структуре сайта. Таким образом определение прав сводится к установке прав доступа для каталогов структуры.

Системой поддерживаются следующие права доступа:

  • Чтение - просмотр содержимого и свойств объекта
  • Запись - создание новых записей для каталогов структуры, форумов и.т.д
  • Редактирование - изменение свойст и содержимого объекта
  • Управление - удаление, перемещение в структуре, деактивация и.т.д

В сумме все права дают полный доступ на управление объектом. Кроме того, полным доступом на управление объектом обладает владелец объекта и пользователи входящие в системную группу "Администраторы"

Задача администратора системы сводится к корректному определению прав доступа на этапе проектирования структуры сайта. Это важное и отличитальное преимущество E-logic CMS.

Дата публикации на сайте: 14.08.2004