Bezpečnost


Bezpečnost CMS systému

Mít bezpečný systém neznamená jen čistě chráněné údaje, ale především mít zabezpečen nepřerušený chod samotného podnikatelského řešení nebo jiné on-line aktivity. S redakčním systémem WebJET čerpají provozní výhody na bezpečnost auditovaného systému všechny pravidelně aktualizované WebJET distribuční verze.

Celková bezpečnost provozovaného web sídla se skládá z:

  • bezpečnosti operačního systému
  • bezpečnosti aplikací provozovaných v daném operačním systému (databáze, ostatní služby)
  • bezpečnosti webové aplikace

Narušení každé z těchto součástí vede k destabilizaci celého on-line systému, a proto je třeba minimalizovat rizika v každé z těchto oblastí. Bezpečnost operačního systému a běžících služeb řeší IT oddělení hostingové společnosti, případně podle potřeby dodáváme služby našich odborníků. Redakční systém WebJET jako webová aplikace poskytuje v této oblasti dlouhodobě prověřován standard.

Řešení bezpečnosti redakčního systému WebJET

Redakční systém WebJET je pravidelně testován penetračním / bezpečnostním testem a obsahuje množství ochran, z nichž vybíráme:

  • SQL Injection - s databází se pracuje s využitím Prepared Statement u nichž není možné provést útoky typu SQL Injection a získat tak citlivé údaje.
  • Cross-site Scripting (XSS) - redakční systém WebJET obsahuje detekci a filtrování nepovolených znaků a auditování XSS útoků.
  • Cross-site Request Forgery (CSRF) - při přístupu do administrátorské části je kontrolován CSRF útok, administraci a stránkám je znemožněno vkládání do rámců jako ochrana před Click Jacking, pro web aplikace je možné využít CSRF tokeny pro ochranu formulářů.
  • Session Stealing - session je navázána na IP adresu, nelze libovolně použít session cookie, aplikace je také chráněna proti útoku na Session Fixation.
  • SPAM - emailové adresy na stránce jsou zakódovány a zobrazeny s využitím JavaScriptu, podobně formuláře jsou chráněny obfuscováním HTML kódu s možností vypnutí ochrany matematickým testem. Pro formuláře a vybrané moduly lze aktivovat ochranu CAPTCHA testem.
  • Denial of Service (DOS) - formuláře a aplikační moduly obsahují integrovanou kontrolu limitující počet odeslání i rychlost odesílání formulářů a omezují zátěž na server při náročných operacích.
  • Distributed Denial of Service (DOS) - redakční systém WebJET podporuje běh s využitím rychlého reverzního proxy pro vysokovýkonné poskytování web stránek s omezením počtu a rychlosti jednotlivých HTTP požadavků.
  • Brute Force - při zadání nesprávného jména nebo hesla je během definovaného času znemožněno se znovu přihlásit. Systém jednotně odpovídá při zadání nesprávného jména nebo hesla, není možné identifikovat zda je jedno z dvojice správně.
  • File Extension Handling - integrována kontrola nahrávaných souborů se zamezením nahrání souborů s nebezpečnými příponami, pro formuláře možnost definovat povolené přípony a maximální velikost souboru.
  • Cross-site Tracking (XST), HTTP Methods Testing - kontrola volaných HTTP, WebJET povoluje pouze potřebné GET a POST metody.
  • Přihlašování do administrátorské části je možné omezit na vybrané IP adresy, je možné vynutit zabezpečené spojení.
  • Credentials transport - každé stránce je možné nastavit požadavek na zabezpečené spojení, pro domény s dostupným SSL certifikátem lze nastavit vynucené odesílání standardních formulářů přes zabezpečené spojení. Libovolné části webové prezentace v redakčním systému WebJET je možné chránit heslem na úrovni sekcí, jakož i samostatných web stránek. Stejně chráněné jsou fyzické soubory, poskytované ke stažení.
  • Multiplatform - redakční systém WebJET je možné bez jakékoliv potřeby změny kódu provozovat i na platformě Windows, i na platformě Linux / Unix. Pokud se někdy v budoucnu vaše společnost rozhodne, že platforma Windows není dostatečně zajištěna proti vnějším útokům, je možné jednoduše a bez komplikací provést systém na platformu Linux.
  • Auditing - všechny operace na úrovni front-endu i back-endu jsou zaznamenávány v tzv. logech. V záznamech je možné rozlišovat operace i podle uživatele, který operaci provedl.
  • Aplikačná logika je rozdělena do dvou částí podle paradigma Model View Controller: byznys vrstva (operace s databází) je oddělena od prezentační vrstvy (HTML kód). Zároveň, byznys vrstva je na serveru v kompilovaném tvaru a není možné ji přímým způsobem měnit.

V případě specifických potřeb pro zajištění navrhujeme a realizujeme zvláštní zajištění web sídla, nebo administrátorské části dle vašich požadavků.

Přihlašování a zabezpečení hesel

Do redakčního systému WebJET se standardně přihlašuje zadáním přihlašovacího jména a hesla. Přihlašování je následně ověřeno na základě nastavených práv a buď povoleno aneb zamítnuto. Všechna hesla jsou na web serveru uchovávány ve formě hash-u s využitím náhodného řetězce (salt).

Pro zvýšení bezpečnosti je možné využít šifrovaný HTTPS protokol, kdy je šifrovaná celá komunikace mezi prohlížečem návštěvníka a web serverem. Přihlašovací mechanismus může být navíc rozšířen o ověření totožnosti prostřednictvím SMS zprávy.

Pravidelný bezpečnostní audit

Redakční systém WebJET je díky své modularitě úspěšný jako řešení menších komerčních subjektů, tak i velkých společností a bankovních institucí, pro potřeby kterých je systém pravidelně auditován nezávislými společnostmi na splnění přísných bezpečnostních kritérií. Odhalené potenciální problémy jsou opraveny a zahrnuty do standardních instalací pro ostatní klienty. Tímto procesem získávají výhody auditovaného systému i menší a střední společnosti.

S redakčním systémem WebJET získáte podporu vysoké úrovně zabezpečení.

Máte otázky nebo potřebujete více informací?