Russian guide updates [skip ci]

josephmelnick · Dec 10, 2017 · 0fbe807 · 0fbe807
1 parent 1e00a05
commit 0fbe807
Showing 1 changed file with 64 additions and 8 deletions.
diff --git a/docs/guide-ru/security-best-practices.md b/docs/guide-ru/security-best-practices.md
@@ -162,16 +162,72 @@ CSRF - это аббревиатура для межсайтинговой по
 Если это так, то нужно запретить доступ ко всему, кроме директории `web`. Если на вашем хостинге такое невозможно,
 рассмотрите возможность смены хостинга.
 
-Как избежать отладочной информации и утилит в продуктиве
---------------------------------------------------------
+Как избежать вывода информации отладки и инструментов в рабочем режиме
+----------------------------------------------------------------------
 
 В режиме отладки, Yii отображает довольно подробные ошибки, которые полезны во время разработки. Дело в том, что
 подробные ошибки удобны для нападающего, так как могут раскрыть структуру базы данных, параметров конфигурации и части
-вашего кода. Никогда не запускайте продуктивное приложение с `YII_DEBUG` установленным в `true` в вашем `index.php`.
+вашего кода. Никогда не запускайте приложения в рабочем режиме с `YII_DEBUG` установленным в `true` в вашем `index.php`.
 
-Вы никогда не должны включать Gii на продуктиве. Он может быть использован для получения информации о структуре
-базы данных, кода и может позволить заменить файлы, генерируемые Gii автоматически.
+Вы никогда не должны включать Gii или Debug панель в рабочем режиме. Это может быть использованно для получения информации о структуре базы данных, кода и может позволить заменить файлы, генерируемые Gii автоматически.
 
-Также следует избегать включения на продуктиве панели отладки, если только в этом нет острой необходимости.
-Она раскрывает всё приложение и детали конфигурации. Если вам все таки нужно запустить панель отладки на продуктиве,
-проверьте дважды что доступ ограничен только вашими IP-адресами.
+Следует избегать включения в рабочем режиме панели отладки, если только в этом нет острой необходимости.
+Она раскрывает всё приложение и детали конфигурации. Если Вам всё-таки нужно запустить панель отладки в рабочем режиме,
+проверьте дважды, что доступ ограничен только вашими IP-адресами.
+
+Далее по теме читайте:
+
+- <https://www.owasp.org/index.php/Exception_Handling>
+- <https://www.owasp.org/index.php/Top_10_2007-Information_Leakage>
+
+
+Использование безопасного подключения через TLS
+-----------------------------------------------
+
+Yii предоставляет функции, которые зависят от куки-файлов и/или сессий PHP. Они могут быть уязвимыми, если Ваше соединение
+скомпрометированно. Риск снижается, если приложение использует безопасное соединение через TLS (часто называемое как [SSL](https://en.wikipedia.org/wiki/Transport_Layer_Security)).
+
+Инструкции по настройке смотрите в документации к Вашему веб-серверу. Вы также можете проверить примеры конфигураций
+предоставленные проектом H5BP:
+
+- [Nginx](https://github.com/h5bp/server-configs-nginx)
+- [Apache](https://github.com/h5bp/server-configs-apache).
+- [IIS](https://github.com/h5bp/server-configs-iis).
+- [Lighttpd](https://github.com/h5bp/server-configs-lighttpd).
+
+
+Безопасная конфигурация сервера
+-------------------------------
+
+Цель этого раздела - выявить риски, которые необходимо учитывать при создании
+конфигурации сервера для обслуживания веб-сайта на основе Yii. Помимо перечисленных здесь пунктов есть и
+другие параметры, связанные с безопасностью, которые необходимо учитывать, поэтому не рассматривайте этот раздел как завершенный.
+
+### Как избежать атаки типа `Host`-header
+
+Классы типа [[yii\web\UrlManager]] и [[yii\helpers\Url]] могут использовать [[yii\web\Request::getHostInfo()|запрашиваемое имя хоста]]] для генерации ссылок. Если веб-сервер настроен на обслуживание одного и того же сайта независимо от значения заголовка `Host`, эта информация может быть ненадежной и может быть подделана пользователем, отправляющим HTTP-запрос. В таких ситуациях Вы должны либо исправить конфигурацию своего веб-сервера, чтобы обслуживать сайт только для указанных имен узлов, либо явно установить или отфильтровать значение, установив свойство [[yii\web\Request::setHostInfo()|hostInfo]] компонента приложения `request`.
+
+Дополнительные сведения о конфигурации сервера смотрите в документации Вашего веб-сервера:
+
+- Apache 2: <http://httpd.apache.org/docs/trunk/vhosts/examples.html#defaultallports>
+- Nginx: <https://www.nginx.com/resources/wiki/start/topics/examples/server_blocks/>
+
+Если у Вас нет доступа к конфигурации сервера, Вы можете настроить фильтр [[yii\filters\HostControl]] уровня приложения для защиты от такого рода атак:
+
+```php
+// Файл конфигурации веб-приложения
+return [
+    'as hostControl' => [
+        'class' => 'yii\filters\HostControl',
+        'allowedHosts' => [
+            'example.com',
+            '*.example.com',
+        ],
+        'fallbackHostInfo' => 'https://example.com',
+    ],
+    // ...
+];
+```
+
+> Note: Вы всегда должны предпочесть конфигурацию веб-сервера для защиты от `атак заголовков узла` вместо использования фильтра.
+    [[yii\filters\HostControl]] следует использовать, только если настройка конфигурации сервера недоступна.