Ядро продукта и непосредственно главный модуль содержит в себе общую для всех модулей и всего сайта в целом систему авторизации, регистрации и управления пользователями и группами пользователей. В общей базе данных регистрируются как сотрудники компании, так и пользователи веб-сайта.

Все права в системе распределяются исключительно для групп пользователей.

Административный интерфейс позволяет завести любое число групп пользователей. Есть две группы, которые обязательно должны присутствовать в системе. Группа Administrator, к которой принадлежат пользователи с неограниченными правами и которым разрешается использовать на сайт программный код. И группа Everyone, к которой принадлежат все неавторизованные или незарегистрированные пользователи на сайте.

При установке продукта создается первый и единственный на этот момент пользователь в системе, который принадлежит к группе Administrator и который может выполнять на сайте все действия.

Начиная с версии 4.0, в системе заранее заведены и настроены по правам доступа следующие группы:

• Administrators – администратор с полным доступом и правом программирования;
• Everyone – неавторизованный или незарегистрированный посетитель сайта;
• Registered users – зарегистрированный пользователь по умолчанию приписывается к этой группе.
• Content editors - редакторы контента и данных инфоблоков;
• Advertising admin istrators администратор системы рекламы;
• Advertising managers менеджер управления рекламой;
• Forum Moderators – модераторы форумов.

В настройках модуля может быть проверен и настроен список пользователей, которые принадлежат к этой группе.

В настройках группы указываются права доступа к административной части модулей. Дополнительные настройки по правам доступа возможны непосредственно в модулях инфоблоков, форумов, веб-форм, опросов, торгового каталога, документооборота, рекламы, техподдержки.

Профайл пользователя содержит обязательную регистрационную информацию и необязательную информационную часть с описанием личных данных, информации о компании и данных для работы с форумом. Управление всеми пользователями выполняется в административном разделе в меню «Пользователи».

В профайле пользователя также настраивается, к каким группам принадлежит пользователь. Возможна привязка одновременно к неограниченному числу групп пользователей. От того, к какой группе принадлежит пользователь, будут зависеть его права на сайте.

Администратор системы безопасности может в любой момент получить список пользователей, которые принадлежат к той или иной группе, и скорректировать эту информацию при необходимости.

В программном продукте реализована двухуровневая система разграничения прав доступа:

Уровень 1: доступ к файлам и каталогам.
Уровень 2: доступ к модулям и логическим операциям в модулях.

Уровень 1. Настройка доступа к файлам и каталогам выполняется в меню Структура сайта > Управление. Достаточно отметить один или несколько каталогов или файлов и выбрать Доступ, чтобы определить какие группы пользователей имеют право на доступ к этим документам.

Права на доступ, назначенные на каталоги, наследуются для всех файлов и подкаталогов, расположенных ниже. Например, достаточно поставить на каталог / partners/ права на чтение только для группы Partners и убрать право на чтение у группы Everyone, никто из обычных посетителей уже не сможет зайти в каталог и у посетителей будет запрошена авторизация.

Если пользователь принадлежит нескольким группам, то берется максимальное право из всех прав доступа заданных для этих групп.

Если для текущего файла или каталога явно не задан уровень прав, то берется уровень прав заданный для вышележащих каталогов.

Уровень 2 обеспечивает разграничение доступа к модулям и логическим операциям в модулях.

Если речь идет об обычных статичных публичных страницах, то к ним применяется только уровень 1 доступа на файлы и каталоги.

Каждая страница сайта, созданного на базе «1С-Битрикс: Управление сайтом», начинается включением обязательного файла заголовка. Простое включение этого файла автоматически обеспечивает работу единой системы авторизации и разграничения доступа.

Система авторизации работает независимо от бизнес-логики размещенной в рабочем теле страницы. Принцип независимости системы авторизации от исполняемой части страницы обеспечивает гарантированную защиту приложениям от несанкционированного доступа и исполнения и означает, что если пользователь не будет иметь прав на доступ к странице, ему не удастся обойти систему авторизации.

Все модули в продукте обеспечивают проверку прав доступа непосредственно внутри модулей при обращении к API-функциям. Таким образом, приложения, написанные с использование API, обладают еще одним уровнем независимой защиты на уровне модулей и логических операций. И независимость работы системы авторизации при обращении к функциям API обеспечивает защищенную разработку клиентских приложений и бизнес-логики и удобное управление правами доступа в стандартном интерфейсе модулей.

Большинство проблем и уязвимостей в программных продуктах связано с неправильной обработкой переменных поступающих из форм или с некорректной работой с внешними файлами или данными.

При разработке программного продукта «1С-Битрикс: Управление сайтом ASP.NET» разработана методика обработки внешних переменными и файлов, поступающих извне.

Для обработки переменных в программном продукте реализованы функции по подготовке переменных к безопасному использованию в SQL-запросах и функциональных модулях.

Запрет на исполнение любых типов пользовательских файлов

Такая концентрация ключевых участков кода с точки зрения безопасности в едином месте позволяет разрабатывать безопасные веб-приложения с минимальными усилиями.