Bezpečnosť prevádzky web sídla

Otázka bezpečnosti patrí nesporne ku kritickým a dôležitým parametrom úspešnej prevádzky komerčného web sídla, alebo akéhokoľvek portálu, ktorý pracuje s vlastnými senzitívnymi informáciami a plní individuálne ciele podnikania.
 

Mať bezpečný systém neznamená len čisto chránené údaje, ale predovšetkým zabezpečený neprerušený chod samotného podnikateľského riešenia alebo inej on-line aktivity. S redakčným systémom WebJET čerpajú prevádzkové výhody na bezpečnosť auditovaného systému všetky pravidelne aktualizované WebJET distribučné verzie.

Základy bezpečnosti web stránok

Celková bezpečnosť prevádzkovaného web sídla sa skladá z:

  • Bezpečnosti operačného systému.
  • Bezpečnosti aplikácií prevádzkovaných v danom operačnom systéme (databáza, ostatné služby).
  • Bezpečnosti webovej aplikácie.

Narušenie každej z týchto súčastí vedie k destabilizácií celého on-line systému, a preto je potrebné minimalizovať riziká v každej z týchto oblastí. Bezpečnosť operačného systému a bežiacich služieb rieši IT oddelenie hostingovej spoločnosti, prípadne podľa potreby dodávame služby našich odborníkov. Redakčný systém WebJET ako webová aplikácia poskytuje v tejto oblasti dlhoročne preverovaný štandard.

Riešenia bezpečnosti redakčného systému WebJET

Redakčný systém WebJET bol viac krát testovaný penetračným / bezpečnostným testom, obsahuje množstvo ochrán z ktorých vyberáme:

  • SQL Injection - s databázou sa pracuje s využitím Prepared Statement pri ktorých nie je možné vykonať útoky typu SQL Injection a získať tak citlivé údaje.
  • Cross-site Scripting (XSS) - redakčný systém WebJET obsahuje detekciu a filtrovanie nepovolených znakov a auditovanie XSS útokov.
  • Cross-site Request Forgery (CSRF) - pri prístupe do administrátorskej časti je kontrolovaný CSRF útok, administrácii a stránkam je znemožnené vkladanie do rámcov ako ochrana pred Click Jacking, pre web aplikácie je možné využiť CSRF tokeny pre ochranu formulárov.
  • Session Stealing - session je naviazaná na IP adresu, nie je možné ľubovoľne použiť session cookie, aplikácia je aj chránená proti útoku na Session Fixation.
  • SPAM - emailové adresy na stránke sú zakódované a zobrazené s využitím JavaScriptu, podobne formuláre sú chránené obfuscovaním HTML kódu s možnosťou vypnutia ochrany matematickým testom. Pre formuláre a vybrané moduly je možné aktivovať ochranu CAPTCHA testom.
  • Denial of Service (DOS) - formuláre a aplikačné moduly obsahujú integrovanú kontrolu limitujúcu počet odoslaní aj rýchlosť odosielanie formulárov a obmedzujú záťaž na server pri náročných operáciach.
  • Distributed Denial of Service (DOS) - redakčný systém WebJET podporuje beh s využitím rýchleho reverzného proxy pre vysokovýkonné poskytovanie web stránok s limitovaním počtu a rýchlosti jednotlivých HTTP požiadaviek.
  • Brute Force - pri zadaní nesprávneho mena alebo hesla je počas definovaného času znemožnené sa znova prihlásiť. Systém jednotne odpovedá pri zadaní nesprávneho mena alebo hesla, nie je možné identifikovať či je jedno z dvojice správne.
  • File Extension Handling - integrovaná kontrola nahrávaných súborov so zamedzením nahratia súborov s nebezpečnými príponami, pre formuláre možnosť definovať povolené prípony a maximálnu veľkosť súboru.
  • Cross-site Tracking (XST), HTTP Methods Testing - kontrola volaných HTTP metódy, WebJET povoľuje len potrebné GET a POST metódy.
  • Prihlasovanie do administrátorskej časti je možné obmedziť na vybrané IP adresy, je možné vynútiť zabezpečené spojenie.
  • Credentials transport - každej stránke je možné nastaviť požiadavku na zabezpečené spojenie, pre domény s dostupným SSL certifikátom je možné nastaviť vynútené odosielanie štandardných formulárov cez zabezpečené spojenie. Ľubovoľné časti webovej prezentácie v redakčnom systéme WebJET je možné chrániť heslom na úrovni sekcií, ako aj samostatných web stránok. Rovnako chránené sú fyzické súbory, poskytované na stiahnutie.
  • Multiplatform - redakčný systém WebJET je možné bez akejkoľvek potreby zmeny kódu prevádzkovať aj na platforme Windows, aj na platforme Linux / Unix. Ak sa niekedy v budúcnosti Vaša spoločnosť rozhodne, že platforma Windows nie je dostatočne zabezpečená proti vonkajším útokom, je možné jednoducho a bez komplikácií previesť systém na platformu Linux.
  • Auditing - všetky operácie na úrovni front-endu aj back-endu sú zaznamenávané v tzv. logoch. V záznamoch je možné rozlišovať operácie aj podľa používateľa, ktorý operáciu vykonal.
  • Aplikačná logika je rozdelená do dvoch častí podľa paradigmu Model View Controller: biznis vrstva (operácie s databázou)  je oddelená od prezentačnej vrstvy (HTML kód). Zároveň, biznis vrstva je na serveri v skompilovanom tvare a nie je možné ju priamym spôsobom meniť.

V prípade špecifických potrieb na zabezpečenie navrhujeme a realizujeme osobitné zabezpečenie web sídla, alebo administrátorskej časti podľa Vašich požiadaviek.

Prihlasovanie a zabezpečenie hesiel

Do redakčného systému WebJET sa štandardne prihlasuje zadaním prihlasovacieho mena a hesla. Prihlasovanie je následne overené na základe nastavených práv a buď povolené alebo zamietnuté. Všetky heslá sú na web serveri uchovávané vo forme hash-u s využitím náhodného reťazca (salt).

Na zvýšenie bezpečnosti je možné využiť šifrovaný HTTPS protokol, kedy je šifrovaná celá komunikácia medzi prehliadačom návštevníka a web serverom. Prihlasovací mechanizmus môže byť naviac rozšírený o overenie totožnosti prostredníctvom SMS správy.

Pravidelný bezpečnostný audit

Redakčný systém WebJET je vďaka svojej modularite úspešný ako riešenie menších komerčných subjektov, tak aj veľkých spoločností a bankových inštitúcií, pre potreby ktorých je systém pravidelne auditovaný nezávislými spoločnosťami na splnenie prísnych bezpečnostných kritérií. Odhalené potenciálne problémy sú opravené a zahrnuté do štandardných inštalácií pre ostatných klientov. Týmto procesom získavajú výhody auditovaného systému aj menšie a stredné spoločnosti.

S redakčným systémom WebJET získate podporu vysokej úrovne zabezpečenia.

Máte otázky alebo potrebujete viac informácií?

Tlačiť stránku

Kontaktujte nás

 
 
Technické informácie:  
 

alebo si zobrazte všetky kontakty.

 
 
 
 

HP internetový obchod HP MarketOracle Certified PartnerHP 2013 GOLD Specialist - Personal ComputingStatSoft

zatvorit
Facebook