1. Важные доработки в области безопасности
Степень угроз в информационной среде растет ежедневно. В релизе 2.11 мы учли требования служб безопасности наших корпоративных клиентов в части защиты доступа в систему, логирования, устранения ряда уязвимостей. В рамках обновления клиентам стали доступны следующие функции:
1.1. Защита от перебора паролей
На форме авторизации система при вводе пароля выполняет проверку корректности введенных данных. При неправильном вводе данных, выводит ошибку: «Неверный пароль» и деактивирует кнопку «Войти». При этом запускается счетчик на время для каждой попытки в соответствии с настройками в административной панели. По истечении времени на счетчике, кнопка «Войти» снова становится активной.
В панели администрирования Джанго в новом разделе Home › Security › Security settings › Brute force attack prevention доступны настройки:
- Use CAPTCHA – (Использовать капчу — включить /выключить)
- captcha_invalid_a uthorizations (Количество неправильных попыток входа N, после которых Пользователю отображается тест «Капча»)
- ATTEMPT (Количество неудачных попыток входа, после которой учетная запись Пользователя блокируется сначала на [Minimum blocking time], а при каждом повторе неверно введенных данных еще на + [Blocking interval]. В поле можно ввести целое число от 1 до 99 включительно.)
- DELAY_SECONDS (Первоначальное время блокировки после неправильного ввода авторизационных данных более чем [Limiting the number of failed login attempts] раз (указанное число = в секундах). Значение по умолчанию: 60)
- DELAY_SECONDS_FOR_EXTRA_ATTEMPT (Интервал блокировки. Если после первой блокировки учетной записи Пользователь и дальше отправляет неверные данные, то время блокировки увеличивается с предыдущего значения времени блокировки на количество, указанное в интервале блокировки (указанное число = в секундах). Значение по умолчанию: 0)
- interval_for_check (T – период времени для продолжительности блокировки / подсчета попыток (указанное число = в секундах). Значение по умолчанию: 21600 сек. По истечению времени T количество попыток и время блокировки для Пользователя обновляются).
1.2. Настройки сложности паролей
В административной панели в разделе Home › Security › Security settings › Password expiration добавлена возможность включения/выключения требований к паролям при регистрации, добавлении нового Пользователя, смене и восстановлении пароля.
Требования к паролям (можно включить / отключить):
- Минимальная длина пароля. В поле можно ввести целое число от 8 до 64 включительно. Значение по умолчанию: 8
- Включение / выключение парольной политики об обязательности содержания буквы в верхнем И буквы в нижнем регистрах в пароле. По умолчанию: выключено
- Включение / выключение парольной политики об обязательности содержания специальных символов в пароле (~ ! ? @ # $ % ^ & * _ — + ( ) [ ] { } > < / \ | » ‘ . , : ;). По умолчанию: выключено
- Включение / выключение парольной политики о запрете сходства пароля с персональной информацией Пользователя (Имя Фамилия при регистрации, E-mail).
- Проверка не является ли пароль одним из общеизвестных (например, QWERTY, 123456 и т.д.)
- Проверка, не является ли пароль полностью числом.
1.3. Настраиваемая принудительная смена пароля по истечению заданного срока
Добавлена возможность автоматически сбрасывать пароль пользователя по истечению срока действия. Настройка доступна в разделе Home › Security › Security settings › Password expiration.
1.4. Глубина сравнения нового пароля с предыдущими
Система сохраняет историю последних паролей и осуществляет проверку на точное совпадение. Глубина сравнения с предыдущими паролями (по умолчанию 3) может быть выставлена любая. Эта настройка доступна в Home › Security › Password policy › Password history.
1.5. Регистрация событий безопасности
Теперь в системе ведется лог всех критических событий (вход-выход, действия пользователей). Лог может выгружаться во внешние системы мониторинга систем безопасности.
2. Согласно пожеланиям клиентов, были реализованы доработки, облегчающие жизнь:
2.1 Массовое скачивание по ссылке
При распространении ссылки неавторизованному пользователю стали доступны нижняя панель массовых действий и панель с фильтрами/сортировкой.
Массовое выделение доступно в любом режиме просмотра: «Таблица», «Список» или «Плитка». Выделение доступно с одинарным кликом левой клавиши мыши и горячими клавишами «Ctrl» /»Command» и «Shift»:
2.2. Поиск по активам внутри ссылки
Реализован поиск по активам (тегам, лицам и т.д.), который комбинирует фильтры привычным образом.
2.3. Новая индикация при скачивании активов
До обновления процесс запуска скачивания активов был не всегда очевиден, поэтому мы сменили процесс индикации – теперь после нажатия кнопки «Скачать» запускается спиннер, который показывает запущенный процесс, при этом сама кнопка становится неактивной.