Как защитить свой бизнес в сети. Несколько слов о безопасности.

При создании старапов, систем принимающих деньги он-лайн магазинов заказчики в первую очередь обращают внимание на функционал и дизайн, а уже потом переводят свой взор на безопасность. И это хорошо, если они вспоминают о безопасности, многие настолько рады красивому шаблону и хорошо продуманному функционалу, что сразу же пускают проект в эксплуатацию, а зря… Хакеры очень быстро сканируют систему и находят в ней уязвимые места, после чего хозяину проекта проблем не избежать. Из последних взломов вспомним хотя бы vshtabe.ru, когда увели данные всех зарегистрированных пользователей. Задумайтесь, а если бы эти пользователи заводили на сайт деньги, какие были бы потери? Бармен Скотт когда-то сказал, что неуязвимых систем не бывает, но надо стремиться к совершенству. Поэтому каждый, кто разрабатывает веб-сайт, который работает с финансами, должен придерживаться основных постулатов безопасности:

1.Никогда нельзя использовать публичный web-сервер для хранения чувствительной информации, которая должна быть доступна только внутренним пользователям (компрометация публичного web-сервера обязательно приведет к компрометации этих данных). Надо либо арендовать выделенный сервер у хорошего хостера или запускать свой сервер, пользуясь услугами хорошего администратора.

2. Выбор языка программирования. Не менее важный пункт, если вы хотите максимально обезопасить ваш сайт, забудьте об использовании php. Этот язык обсуждается на всех хакерских форумах, хакеры знаю ошибки даже в интерпретаторе, а от них никак не защитится. Для защищенных веб-приложений чаще всего на сегодняшний день используют платформу .NET, но она имеет ряд недостатков. Оптимальными вариантами будут Python, Perl, Java. Особая осторожность также требуется при загрузке заранее созданных скриптов или выполняемых файлов из Интернета. Многие web-администраторы хотят сэкономить время, загружая свободно доступный код из Интернета. Хотя удобства очевидны, риск тоже велик. Не стоит экономить на таких проектах, надо все, даже самые минимальные модули, создавать самому.

3. URLs и cookies

URLs – это адрес, который хранится в строке вашего браузера. Данные, которые он содержит хранятся не только там, но и в логах прокси-сервера и логах НТТР referrer. Хранение должно тщательно шифроваться, ведь данные, содержащиеся в них, могут стать основой атаки на ваш сервер. Особое внимание следует уделять шифрованию для IE, ведь это любимый инструмент хакеров. Тоже самое касается и cookies, хранение которых, в незашифрованном виде, может стать ключом к атакам.

4. Уязвимости технологий активного содержимого на стороне клиента

Не смотря на то, что все расхваливают ActiveX, это самая уязвимая технология, отдаем должное старому доброму JavaScript и VBScript, которые, не смотря ни на что, остаются во главе. Простота этих сред и обеспечивает безопасность.

Кроме всего этого есть еще 3 правила, которые помогают вам обеспечить безопасность вашего он-лайн приложения:

Правило 1. Никогда не доверять информации, приходящей от клиента на сервер.

Любой байт, принятый сервером, может являться частью хакерской атаки. Фильтруйте любые суперглобальные переменные перед каждым использованием. Если в вашем веб-приложении есть защищенная область с доступом по логину и паролю, обязательно добавьте к ней хорошую капчу. Это защитит ваше веб-приложение от брутфорс атаки.

Тщательное соблюдение Первого Правила позволит защититься от самых распространенных хакерских атак, таких как XSS скриптинг, SQL и SSI инъекции.

Правило 2. Никогда не показывать клиенту ничего, кроме того, что он должен видеть.

Точнее, ничего, кроме html страниц. Все остальные детали и подробности процесса должны быть скрыты. Ограничьте информацию, выдаваемую в http заголовке ответа сервера, только самым необходимым минимумом. Если вы используете сессии и cookie для доступа к закрытым частям сайта, то в cookie не сохраняйте ничего, кроме идентификатора сессии. Генерация случайного SessionID и таймаут сессии - это не подлежащая сомнению аксиома.

Хорошо внедрив Второе Правило на своем сервере, вы освободитесь от уязвимостей класса "Information Disclosure" (в переводе на русский - "по секрету всему светуp>

Правило 3. Никогда не полагаться на надежность платформы, на которой работает веб-приложение.

Любое программное обеспечение, являющееся платформой для вашего веб-приложения (ОС, веб-сервер, сервер БД и т.п.), чаще всего имеет множество уязвимостей, как известных, так и пока неизвестных.

Ставьте себе самые последние стабильные версии ПО. Как можно чаще обновляйте свое ПО, в идеале - сразу после выхода нового обновления.

Соблюдение принципов Третьего Правила позволит вам решить многие проблемы безопасности. Например, установка последних патчей для ОС позволит избежать атак типа DoS или Buffer overflow, установка последних версий PHP5 закроет возможность для атак расщепленным http запросом, установка и правильная настройка файерволла закроет доступ к серверу через "левые" порты.

Не экономьте на защите своих ресурсов. Google не экономил, в итоге превратился в величайшую веб-империю. Теперь дело за Вами.

Сказать свое слово