Дайджест SberCRM Сфера услуг: простая настройка почты, защита от атак через подделку запросов
Представляем первые обновления года в SberCRM Сфера услуги. В этом релизе – обновленный процесс настройки почты и защита от CSRF-атак
Содержание:
Содержание:
Cross-Site Request Forgery – межсайтовая подделка запросов
1
Более удобная настройка почты
В SberCRM стало проще и удобнее подключать и настраивать почту. Теперь подключение разбито на два этапа, а вместо длинной инструкции пользователи видят понятную форму из нескольких шагов. Также изменилась компоновка полей и кнопок. Читать руководство →
2
Защита от атак через подделку запросов
Команда SberCRM добавила механизм защиты от CSRF-атак. Он позволит повысить безопасность ваших данных, предотвратив их кражу третьими лицами.
CSRF-атаку легко не заметить. Вы просто авторизуетесь на веб-ресурсе, например, в SberCRM. Пока сессия активна, любые запросы с вашего аккаунта воспринимаются как легитимные. Злоумышленники могут перехватить куки, например, если вы откроете ссылку из вредоносного письма, и подделать запросы: провести оплату, удалить контакты или сделки, изменить объекты, экспортировать данные и т. д.
Чтобы предотвратить кражи куки, мы добавили механизм выпуска и валидации CSRF-токенов. Каждый раз, при входе в SberCRM создается уникальный набор символов, который добавляется в HTML-контент страницы. Получая запрос, например, на изменение контакта, система сравнит токен, содержащийся в нем, с сохраненным токеном. Если они не совпадут, запрос отклоняется.
CSRF-атаку легко не заметить. Вы просто авторизуетесь на веб-ресурсе, например, в SberCRM. Пока сессия активна, любые запросы с вашего аккаунта воспринимаются как легитимные. Злоумышленники могут перехватить куки, например, если вы откроете ссылку из вредоносного письма, и подделать запросы: провести оплату, удалить контакты или сделки, изменить объекты, экспортировать данные и т. д.
Чтобы предотвратить кражи куки, мы добавили механизм выпуска и валидации CSRF-токенов. Каждый раз, при входе в SberCRM создается уникальный набор символов, который добавляется в HTML-контент страницы. Получая запрос, например, на изменение контакта, система сравнит токен, содержащийся в нем, с сохраненным токеном. Если они не совпадут, запрос отклоняется.
Небольшие текстовые данные, сохраняемые браузером на устройстве пользователя по запросу веб-сайтов. Они необходимы для идентификации пользователя, запоминания настроек и т. д.
HTML (HyperText Markup Language – «язык разметки гипертекста») – это стандартный язык, используемый для создания структуры и каркаса веб-страниц
Поможем подключить и настроить SberCRM
Мы на связи в рабочие дни с 07:00 до 18:00 по Москве.
8 800 200 89 97, info@sbercrm.com
Протестировать новинки
Эта статья была полезна?
Читайте также: