Як підвищити безпеку сайту з Drupal-модулем Automated Logout

13.05.2020
Як підвищити безпеку сайту з Drupal-модулем Automated Logout
Автор:

Для надійного захисту фортеці обов'язково пильно дивитися в різних напрямках. Те саме стосується і веб-сайтів — захист вашої «віртуальної фортеці» включає багато аспектів.

На щастя, безпека Drupal-сайтів знаходиться на досить високому рівні, тож потрібно лише дотримуватись найкращих практик. Ви можете завжди розраховувати на нашу команду з Drupal-підтримки, щоб підвищити безпеку сайту і втілити найважливіші заходи на кшталт наступних:

  • перехід на HTTPS
  • застосування Drupal-оновлень з безпеки
  • наведення ладу з ролями і дозволами
  • блокування доступу до важливих файлів
  • встановлення модулів з безпеки
  • і так далі

Наша команда готова захистити не лише безпеку вашого сайту, але й ваш бюджет. Все це завдяки нашим помірним цінам та швидкому розв'язанню задач.

Сьогодні розглянемо ближче одну з практик для підвищення безпеки сайтів, яка не надто часто описується, — обмеження часу сесії користувача на сайті. Давайте поглянемо, як це забезпечує Drupal-модуль Automated Logout.

Як підвищити безпеку сайту за допомогою автоматичного вилогінення

Мабуть, ви помічали, як додатки з онлайн-банкінгу показують зворотній відлік часу вашої користувацької сесії. І цей час зазвичай дуже, дуже короткий.

Звісно, далеко не всі додатки і сайти мають справи з операціями, що потребують такого рівня захисту. Тож час сесії може відрізнятися. Однак, якщо ви дійсно налаштовані підвищити безпеку сайту, ваш знадобиться автоматичне вилогінення у будь-якому випадку.

Пояснення цьому просте: це не дозволить інтернет-зловмисникам перехоплювати ID сесії і вломлюватися на ваш сайт. Тому це можна вважати однією з основ безпеки сайтів.

  • Згідно з OWASP (Open Web Application Security Project, або Відкритим проєктом з безпеки веб-застосунків), недостатнє обмеження часу сесії підвищує кількість атак. Чим коротша сесія, тим менше шансів для злочинців. Тож рекомендується тримати правильний баланс між безпекою та юзабіліті залежно від призначення сайту. 

Що пропонує Drupal-модуль Automated Logout в цілях безпеки

В комплекті заходів безпеки для сайту, контрібний модуль Automated Logout у Drupal дозволяє адміністраторам сайту визначати час неактивності, після завершення якого користувачі автоматично вилогінюються з сайту.

Модуль дуже гнучкий у налаштуванні. Він пропонує:

  • різний час завершення сесії для різних ролей користувачів
  • індивідуальний час завершення сесії для конкретних користувачів
  • сповіщення про вилогінення, які можна гнучко налаштувати
  • JS-механізми, що дозволяють користувачам залишатися залогіненими, коли у них відкрито декілька вкладок або вони працюють із формою
  • і багато іншого

Як працювати з Drupal-модулем Automated Logout для підвищення безпеки

Давайте розглянемо модуль у дії. Встановивши та увімкнувши його, переходьте на вкладку Configuration — People — Automated logout settings. Ось найцікавіше з того, що там можна задати:

1) Основні налаштування часу

  • Задайте час завершення сесії в секундах (наприклад, 60). Якщо увімкнена можливість задавати цей час для конкретних ролей, це налаштування не буде застосовуватись.
  • Задайте максимальний час завершення сесії в секундах. Це максимум, який можуть задати користувачі, в яких є дозвіл виставляти для себе індивідуальний час. 

2) Час для відповіді

  • Задайте час для реакції iв секундах. Це той час, протягом якого користувач має відповісти на діалогове вікно, що з'являється перед вилогіненням (про те, бажає він відновити сесію чи ні).

Automated Logout Drupal module - settings for time

3) Куди перенаправляти користувачів

  • Вам потрібно задати URL для перенаправлення користувачів після завершення сесії.

Automated Logout Drupal module - settings for redirect URL

4) Специфічні можливості для конкретних ролей або користувачів

  • Ви можете заборонити встановлення індивідуального часу завершення сесії. Якщо ж це дозволено, час налаштовується в користувацьких профілях в розділі People адмін-панелі сайту. Однак, цей час так чи інакше не може перевищити максимум, заданий в пункті 1.

Automated Logout Drupal module - settings for user-specific and role-specific timeouts

  • Ви можете дозволити встановлення часу завершення сесії для конкретних ролей, а також специфічних URL-ів для перенаправлення. Дозволи для конкретних ролей знаходяться в розділі People — Permissions адмін-панелі сайту.

Automated Logout Drupal module - roles and permissions

5) Налаштування діалогового вікна

Коли час вилогінення наближається, гарною практикою є показ діалогового вікна, яке інформує користувачів про це і дає їм можливість відповісти «так» чи «ні» на можливість відновити сесію. Ось що там можна налаштувати:

  • Назву діалогово вікна
  • Повідомлення в діалоговому вікні
  • Повідомлення після вилогінення
  • Тип повідомлення (статус чи попередження)
  • Час для відповіді (дивіться пункт 2).

6) Кнопки для відповіді

Також можливо налаштувати написи на кнопках підтвердження та відхилення в діалоговому вікні, або ж повністю їх вимкнути.

Automated Logout Drupal module - response buttons

Якщо є потреба змінити стандартний вигляд кнопок, щоб все відповідало стилю вашого сайту, або ж у будь-який спосіб кастомізувати вищеописані процеси, все це можливо, якщо звернетесь до Drupal-команди.

Підвищіть безпеку сайту з нашими експертами з підтримки!

Легко залишатися в безпеці, якщо найкращих заходів безпеки для сайту вжито. Наша компанія з Drupal-розробки знає, як підвищити безпеку сайту, тож доручіть нам зробити ваш сайт по-справжньому захищеним.

Як експерти з веб-розробки та підтримки, ми прагнемо покращувати сайти в усіх аспектах, тож можемо не лише підвищити безпеку сайту, але й швидкодію, SEO і так далі.

Звертайтеся до нас із задачами будь-якого обсягу — від встановлення та налаштування конкретних модулів з безпеки до проведення повного аудиту з безпеки за гарну ціну. Зв'яжіться з нами і покращіть безпеку сайту сьогодні!

Голосів: 1 Рейтинг: 5

Також по темі

1

Усі чекають на гарні новини, і у нас для вас є саме такі. Drupal-розробка в часи Covid-19 продовжується — суворі кризи навіть часто відкривають нові перспективи! Далі у статті дізнайтесь,...

2

Інтернет-магазини повинні допомагати їхнім власникам ідеально втілювати їхні стратегії щодо доставки товарів. Читайте далі про рішення та можливості з доставки в Drupal Commerce.

3

У блозі дізнайтесь більше про PWA (прогресивні веб-додатки), що вони собою являють, чим корисні та як можлива інтеграція PWA з Drupal-сайтом.

4

Повний гайд із переходу на Drupal 9 і все інше, що ви хотіли знати про майбутній реліз. 

5

Якщо у вас магазин на Ubercart, давайте поговоримо, чому варто розглянути міграцію з Ubercart на Drupal Commerce. Вона допоможе збагатити функціональність вашого магазину, дати йому впевненість у...

Subscribe to our blog updates