Post_108Привет всем посетителям Zura-Blog очередная тема блога посвящена безопасности веб-сайтов. Безопасность представляет собой сложную систему, использование которой должно быть согласовано с технологиями которые используют при создании веб проекта.

Речь в этой публикации будет больше касаться не о безопасности сайта, а о системе безопасности, которую применяют для различных проектов.

Каждая технология требует своих, определенных типов системы безопасности, учитывая ее слабые места. В принципе в предыдущих публикациях посвященных языку программирования РНР, акцентировалось внимание на данных проблемах.

При правильном подходе, когда безепека рассматривается как система, и ее предоставляется достаточно внимания уже на стадии проектирования, тогда веб-системы отличаются надежности и главное не требуют в дальнейшем в процессе работы, немедленного «латание дыр» в поисках способов защиты проекта.

Безопасность является первоочередным важным вопросом для большинства сайтов, а также некоторых представительств крупных компаний, которые в большинстве случаев не защищены должным образом.

Уровень защиты информации, содержащейся на веб-сайтах и ​​способов доступа к ней очень низкий, да и в большинстве случаев многие пользователи интернет сети не задумываются о необходимости обеспечения системы, и не готовы тратить средства, время и усилия специалистов нереализации системы безопасности своих веб проектов.

Хотя последствия могут, быть в принципе каждый понимает и без комментариев. Таким образом, безопасность черезвычайно важна не только потому что затрудняет доступ к некоторым конфедицийних данных, а еще и потому что безопасность сайта определяет некоторые стратегии развития и организации веб проекта.

Поэтому необходимо заботиться о защите веб проекта в самом начале, когда собираетесь создавать проект.

Ниже размещены аспекты которые рекомендуют учитывать 

Аспекты безопасности веб сайта можно разделить на две категории:

безопасность системы (гарантия того что другие люди не могут модифицировать сайт)

Информационная безопасность (обеспечит безопасность любой информации, например собственных данных покупателя в интернет магазине)

Безопасность системы

Система безопасности имеет большее значение для подтверждения того, что компьютерная система в безопасности, и для уменьшения проникновения злоумышленников на веб-сервер с целью изменения страниц.

информационная безопасность

Некоторые веб-сайты сохраняют особые данные, такие как собственные данные пользователя (например номер кредитной карточки пользователя). Поэтому для начала необходимо проанализировать всю зберигаему информацию и определить какие данные должны быть особенно защищены.

В качестве администратора такого веб сайта вы несете ответственность за сохранение важной информации в безопасных условиях.

Безопасность программного обеспечения

Еще одним важным аспектом в безопасности системы является программное обеспечение представляющее систему. Программное обеспечение может иметь ошибки, и такие уязвими места обеспечивающих доступ к системе без пароля.

Программное обеспечение должно быть обновленным с помощью патчей и обновлений.

Дефекты программного обеспечения

Веб представляют собой набор современных программ, которые содержат общие ошибки и «дыры» в безопасности, которые могут быть обнаружены злоумышленниками, и предоставить доступ злоумышленникам к вашей системе даже если они не знают пароля для доступа.

Если вы веб-хостинг — это предоставление места на сервере хостинг провайдера для размещения веб-сайта, а также и любой другой информации пользователя (например, текстов, видео, изображения).

То обязанности провайдера обеспечить своевременное обновление программного обеспечения, но вам также следует проверять действительно ли эти обязанности выполняются.

Поддержка обновленного программного забезпеченя

Проблемы безопасности веб-сайтов чаще всего возникают из стороны веб серверов, на которых они работают. Иногда эти проблемы видносоно незначительны и позволяют злоумышленнику сделать ваш сервер неактивным до тех пор пока вы не решите проблему. Поэтому очевидно, что все уязвими места в безопасности должны быть решены, так как они могут предоставить злоумышленнику доступ к файлам вашего сервера.

Все программы которые задействованы в процесс организации доступа и управления сервером, могут влиять в том или ином случае на безопасность всей вашей системы.

Возьмем к примеру доступ к серверу через удаленную консоль ssh. (Среда удаленного управления сервером).

Вы сохраняете пароль в электронном свите вашего клиента, и вводите через интернет соединение через удаленную консоль сервера.

В таком случае есть несколько элементов риска, к ним относится.

  1. операционная система вашего компьютера
  2. Почтовый клиент вашего компьютера
  3. соединение с интернетом
  4. операционная система на машине доступа в консоли

Все эти элементы, и то как они настроены, влияют в данном случае на безопасность информации. Операционные системы должны быть защищены с помощью антивирусных программ, подключение к интернету и Почтовый клиент также должны быть защищены.

Не попадайтесь думая что конкретный сервер является безопасным только потому что о нем так говорят, или потому что он носит название известного бренда.

Один из найбильшуязвимих, взламуваних и часто атакуемых серверов — это Microsoft IIS (Internet Information Services набор серверов от компании Майкрософт)

Минимум использования программного обеспечения

Настраивайте программное обеспечение (особенно сервера) таким образом, чтобы все необязательные функции были отключены. Некоторое программное обеспечение при установке подключает много ненужных функций.

Это значит если найдется уязвиме место в любой из этих опций, ваша система может быть уязвима даже если вы эти функции не используете.

Использование firewall

Программы Firewall контролируют и фильтруют доступ к вашему серверу. Исключение составляют те пакеты которые подходят под определенный набор параметров.

Также необходимо учесть что программы Firewall можно использовать для хранения рисков в целях безопасности, хотя это не является общим решением так как существует вероятность атак, которые могут возникнуть из-за ваш сервер или через другие порты, доступ к которым разрешен.

Дополнительная информация персонального характера

Если вы храните Частный информацию о других людях тогда следует уделить особое внимание способу защиты этих данных.

Например именно имя какой либо человека не является критической информации, но если вы владеете конфеденциальной данными о каком-то человеке (например его доходы или паспортные данные), будет катастрофа если эти данные будут раскрыты.

Информация о кредитной карте

К информации о кредитной карте всегда нужно относиться очень внимательно. Существует много примеров сайтов, которые были взломана и с оттуда похищены большое количество информации по кредитным карточкам, причем карточки затем использовались.

Манипулирование защищенной информацией

После того как вы решили какую информацию нужно защитить, необходимо уделить внимание тому, каким образом информация может быть перехвачена, и принять меры чтобы снизить риск. В качестве примера можно взять номера кредитных карточек с интернет магазина.

Реализация системы экстремального защиты

Первый шаг должен быть направлен на сохранение системы безопасности как можно на более высоком уровне. Убедитесь, что все программное обеспечение обновляется и оно надежное (например если вы используете программу on-line для онлайн покупок с «корзиной покупателя», убедитесь еще нет уязвимих мест в этой части вашего виртуального магазина, и это было проверено экспертами по безопасности)

Корзина покупателя в большинстве случаев является очень большой уязвимистю в безопасности.

Безопасность в пути

Всякий раз когда номера кредитных карт пересылаемых это должно проходить в полной безопасности. Например, веб-сайт должен реализовывать защищенное соединение, когда пользователь вводит номер.

Некоторые веб-сайты отправляют информацию заказов незашифрованной почте или простым текстом. Обычно это увеличивает риск перехвата.

Сокращение последствий провала

Не имеет пожалуй ни одного абсолютно безопасного сайта, ала цель должна быть такая чтобы привести к минимуму вероятность атак.

Например, если программа простая, всегда есть период времени, чтобы выявить уязвимисть системы безопасности и установить обновление от производителя.

Для того чтобы управлять риском, необходимо убедиться, что последствия взлома вашего веб сайта могут быть такими серьезными. Например не нужно держать данные кредитных Картни сервере, подключенном к интернету дольше, чем это необходимо.

Вы должны убедиться что информация удалена и безопасно передается на сервер, который не подключен к интернету, можно чскорше после получения платежа.

Если вашу систему взламають то вы потеряете только несколько номеров кредитных карточек, а не сотни тысяч.

выявление недостатков

Необходимо, чтобы каждый имел возможность знать, когда собственный веб-сайт стал уязвимим (например через регулярную проверку журналов безопасности и доступа). Если вы заподозрили что ваш сайт может оказаться под угрозой, необходимо немедленно принять меры, перейти к чистке сайта, выбрать новый пароль для входа, а также восстановить сайт из резервной копии.  

вирусы

Вопрос которое часто поднимается в безопасности веб-сайтов — это защита от информационных вирусов. Вирусы могут влиять на сайт самым неблагоприятно образом и касаться не только безопасности но и имиджа сайта.

Ну что же на этом буду закругляться, вопросы безопасности обычно очень важное при создании ресурсов, в принципе как я указал в публикации если сайт размещен на сервере провайдер, то тогда за Беспека следят работники хостинга, там также время от времени появляются резервные копии, за счет которых можно будет восстановить ресурс в случае таких событий.

Кроме того можно самому делать резервные копии у себя на компьютере с программой Денвер или Хампп, в любом случае резервные копии необходимы. Что касается расчета по кредитке, это мое личное мнение, я бы все же на прямой не розраховувася, лучше через веб мани или какой-то другой кошелек. Или через «Приват 24». Просто необходимо обращать внимание или защищенный протокол передачи данных. На этом все.

До встречи