1

Тема: Как сделать сайт защищенным?

Уже не первый год специалисты в сфере Интернет-безопасности «ломают голову» над вопросом безопасности систем и сайтов. Даже когда Интернет только появился, стало понятно, что к угрозам в этой сфере нельзя пренебрежительно относиться. Еще в далеком 1994 году русским хакером В. Левином был взломан американский Сити Банк (при помощи Интернета), банк лишился 12 миллионов долларов. После этого также взломали сайт ЦРУ, НАТО и американского Министерства Юстиции. На сегодняшний день владельцы не менее обеспокоены вопросом безопасности. К примеру, несколько лет назад взломали сайт Газпрома и многих других крупных компаний.

Конечно же, защищенность сайта находится в сильной зависимости от того, насколько корректно произведены настройки и конфигурация сервера, на который установлена ОС, а также от подключенного сетевого оборудования. Поскольку большая часть веб-специалистов пользуются виртуальными хостингами для размещения сайтов, они никак не могут воздействовать на эти факторы. Зачастую, если Вы пользуетесь проверенным хостингом, то администрирование серверов происходит на достаточно высоком уровне, что уменьшает риск взлома Вашего сайта. Хотя даже если Вы выбрали самый популярный и защищенный сервер, нет никакой гарантии, что на сайте не будет допущена ошибка (которую часто допускают сами же владельцы, тем самым помогая хакерам).

Что же необходимо сделать, чтобы сайт был в безопасности?
Наиболее сложным для взлома является сайт, который состоит из статичных HTML-страниц. Главную опасность несут используемые на сайте серверные скрипты. На сегодняшний день большинство юзеров, которые решают заняться созданием своего сайта, даже не пытаются освоить простые навыки работы по редактированию HTML-страниц при помощи специальных редакторов, а используют CMS для управления сайтом удаленно. Все скрипты опасны? Скрипт, который написан по всем правилам, не представляет опасности. Но, как показывает практика, если скрипт сложный и создан несколькими программистами, то есть шанс, что будут допущены ошибки, вследствие которых Ваш сайт может быть взломан. Ddos-атаки также довольно частое явление, если для сайта используется сложный скрипт. По этой причине, если у Вас будет выбор, отдайте предпочтение HTML-страницам.
Если нет возможности отказаться от установки скриптов, необходимо подойти к подбору и установке скриптов с полной ответственностью. На сегодняшний день создано множество разнообразных скриптов для сайта –форумы, блоги и тому подобное. Можно выбрать как платную версию, так и бесплатную, которая просто скачивается и устанавливается. Небезопасными оказываются и те, и другие. При использовании готовых скриптов, необходимо учитывать, что, прежде чем установить его, нужно как следует ознакомиться с информацией о его устойчивости к взломам. Если Вы заметили в скрипте слабые места либо готовые программные коды, которые легко взламываются, то однозначно выбирайте другой вариант. Лучше не выбирайте также новейшие версии скриптов, ведь они еще не испытаны должным образом, а поэтому уязвимы. Предпочтение лучше отдать тем скриптам, которые уже испытаны многими сайтами и в них не выявлено слабых мест. После того как скрипт установлен, нужно время от времени заходить на сайт. Если будет обнаружено слабое место, будут размещены обновления и патчи, которые необходимо установить, чтобы сайт снова был в безопасности. Зачастую веб-мастера относятся к этому халатно, что приводит взломам сайтов хакерами.
Если же Вы решили написать скрипт самостоятельно, не забывайте о предосторожности. Основное, на что следует обратить внимание – обработка полученных данных скриптом. Это относится как к данным из адресной строки, так и к тем, которые приходят из форм. Не забывайте о том, что не только пользователь, но и хакер будут вводить все что угодно.Если данные будут недостаточно отфильтрованы, это станет первым шагом к взлому. Например, установлен скрипт добавляющий комментарий к теме, который вводится пользователем при помощи формы. Если фильтрация данных в скрипте не предусмотрена, через Javascript-взломщик может отправить при помощи формы код, который проникнет в код сайта и при последующей загрузке будет выполнен. Таким образом, страница может стать недоступной либо будут украдены логин и пароль, что даст возможность хакеру стать администратором страницы. Перепроверьте скрипт множество раз, если запрос к базе данных отправляется на основе данных, вводимых пользователем, а также если файлы входят в код скрипта либо же если пользователь может загружать файлы на Ваш сервер.
Кроме исключения уязвимых мест в скриптах, нужно продумать и пароле, обеспечивающем безопасность, в противном случае все остальные действия относительно безопасности окажутся напрасными.
Но даже в случае, если же у Вашего сайта нет ни одного уязвимого места, все же есть способ, позволяющий хакеру атаковать ресурс - Ddos-атака. Как проявляется атака? На Ваш сайт поступает огромное количество запросов, отправленных с разных компьютеров, и сервер не может все эти запросы обслужить. Хотя таким способом взломать не получится, но сайт однозначно станет недоступным. Ddos-атакам могут подвергаться даже самые крупные сайты. Полностью оградить сайт от Ddos-атак невозможно, но можно сделать сайт более устойчивым к ним. Для начала уменьшите количество используемых громоздких скриптов. Если Ваш сайт имеет в наличии сложный скрипт, хакер может при помощи одного компьютера сделать его функционирование некорректным. Если Ваш сайт подвергся Ddos-атаке, Ваш нужно будет надеяться, что Ваш хостер отнесется к этому со всей ответственностью. На сегодняшний день далеко не каждая компания готова принять должные меры - большинство из них просто отключают сайт, который был атакован.

Все права принадлежат форуму Imoneyforum
Копирование материалов запрещено.

БИРЖА ДОЛЕЙ SHAREINSTOCK.COM - до 10% в месяц

Место пусто не бывает...продается...

Re: Как сделать сайт защищенным?

хорошая идея

Re: Как сделать сайт защищенным?

Вам необходимо на на веб сервере создать сертификат.
Как это сделать: нужно начинать с консоли IIS, правой кнопкой на веб-сайте, закладка Security, кнопка Server Sertificate
далее действуем по инсрукции:
1) Установка сертифика на сервер (Stand alone root CA)
http://www.microsoft.com/technet/prodte … 22c53.mspx
2) [ссылка заблокирована по решению администрации проекта]
-выбрать Request Certificate
— Выбрать advanced certificate request.
— выбрать Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.
— Идём в консоль IIS, в свойствах Web Site (вкладка Directory Security), кнопка Server Certificate, далее с помощью визарда создаём файл certreq.txt
— вставить тект из файла запроса, сделанного из IIS (certreq.txt)
3) идем в консоль Certification Authority
находим в "Pending Request"-ах запрос, кликаем на нем говорим ISSUE
4) мдем в [ссылка заблокирована по решению администрации проекта]
выбоать View the status of a pending certificate request
выбираем наш запрос " Saved-Request Certificate (дата года запрашивали) "
жмем на "Download certificate ", получаем Файл certnew.cer
5) возвращаемся в IIS (та же вкладка Directory Security свойствах Web Site, кнопка Server Certificate) , говорим "Process pending request", выбираем полученный certnew.cer