Podziel się:

Kwestia bezpieczeństwa stron internetowych to stosunkowo świeży temat. Dawniej, gdy strony składały się z kilku statycznych podstron Htmlowych, nie było możliwości, a przede wszystkim potrzeby, by atakować. Dziś sprawa ma się zgoła inaczej. Ludzie przechowują bardzo poufne informacje w różnych serwisach internetowych, a dostęp do nich dla osób trzecich jest wielce niepożądany.

Dziś kluczowe dla nas działania wykonujemy głównie przez internet. Obsługujemy konto bankowe, rezerwujemy miejsce w hotelu, prowadzimy proces rekrutacji pracowników i wiele więcej. Najważniejsze serwisy internetowe, takie jak banki, płacą krocie za coraz to nowocześniejsze zabezpieczenia przed nieautoryzowanym dostępem. Im większe możliwości ma użytkownik, tym więcej szkód może narobić przestępca, po ominięciu zabezpieczeń.

Chciałbym udzielić Ci kilku porad, które pomogą poprawić bezpieczeństwo Twojej aplikacji.

Przede wszystkim trzymaj się złotej zasady – im mniej pól ma użytkownik do wypełnienia, tym lepiej. Staraj się ograniczyć swobodę wpisywania do minimum. W miarę możliwości używaj list rozwijanych i checkboxów (lub radio boxów) zamiast klasycznych textboxów. Filtruj dokładnie wszystkie pola formularza nawet w najbardziej trywialnych przypadkach.

Zawsze może się zdarzyć, że hacker jakimś cudem wykradnie Ci dane do użytkownika bazy danych. Stanowi to ciężką sytuację, ale nie jest to jeszcze koniec świata. Trzeba tylko odpowiednio przygotować się na taką sytuację. Przede wszystkim należy utworzyć osobnego użytkownika, z minimalnymi prawami, wymaganymi do obsługi strony. Jeśli wystarczy sam select, to taki użytkownik jest dużo mniej wartościowy dla włamywacza. Zazwyczaj jednak potrzeba przynajmniej update i insert, żeby dodawać i edytować zawartość.

Błędem bardzo powszechnym wśród niedoświadczonych webmasterów jest podawanie konta roota do łączenia się strony z bazą. Wtedy hacker, po przechwyceniu danych autoryzacyjnych, ma nieograniczony dostęp do wszystkich funkcji bazy.

Kolejną istotną sprawą jest kopia zapasowa. Po ataku, nawet gdy użytkownik miał dostęp do minimum funkcji, mógł nam łatwo zaspamować bazę lub wyedytować istniejące rekordy. Zaraz po ataku wypada (na wszelki wypadek) wgrać ostatnią bezpieczną kopię zapasową. Większość hostingowych firm wykonuje automatycznie kopie zapasowe całej wynajmowanej powierzchni. Nic nie stoi jednak na przeszkodzie, by samemu się o to zatroszczyć. Oczywiście, po ataku, bezwzględnie zmień wszystkie hasła dostępu oraz poproś o to samo swoich użytkowników.

Staraj się być zawsze na bieżąco z tematem bezpieczeństwa stron www. Dobrym źródłem świeżych informacji jest www.niebezpiecznik.pl.

Zatem trzymaj się standardów, programuj mądrze i ruszaj w świat ze swoją stroną.