Bezpečnosť

Bezpečnosť JAVA CMS systému

Mať bezpečný systém neznamená len čisto chránené údaje, ale predovšetkým zabezpečený neprerušený chod samotného podnikateľského riešenia alebo inej online aktivity. S redakčným systémom WebJET čerpajú prevádzkové výhody na bezpečnosť auditovaného systému všetky pravidelne aktualizované WebJET distribučné verzie.

Celková bezpečnosť prevádzkovaného web sídla sa skladá z:

 • Bezpečnosti operačného systému.
 • Bezpečnosti aplikácií prevádzkovaných v danom operačnom systéme (databáza, ostatné služby).
 • Bezpečnosti webovej aplikácie.

Narušenie každej z týchto súčastí vedie k destabilizácií celého online systému, a preto je potrebné minimalizovať riziká v každej z týchto oblastí. Bezpečnosť operačného systému a bežiacich služieb rieši IT oddelenie hostingovej spoločnosti, prípadne podľa potreby dodávame služby našich odborníkov. Redakčný systém WebJET ako webová aplikácia poskytuje v tejto oblasti dlhoročne preverovaný štandard.

Riešenia bezpečnosti
redakčného systému WebJET

Redakčný systém WebJET je pravidelne testovaný penetračným / bezpečnostným testom a obsahuje množstvo ochrán, z ktorých vyberáme:

 • SQL Injection - s databázou sa pracuje s využitím Prepared Statement pri ktorých nie je možné vykonať útoky typu SQL Injection a získať tak citlivé údaje.
 • Cross-site Scripting (XSS) - redakčný systém WebJET obsahuje detekciu a filtrovanie nepovolených znakov a auditovanie XSS útokov.
 • Cross-site Request Forgery (CSRF) - pri prístupe do administrátorskej časti je kontrolovaný CSRF útok, administrácii a stránkam je znemožnené vkladanie do rámcov ako ochrana pred Click Jacking, pre web aplikácie je možné využiť CSRF tokeny pre ochranu formulárov.
 • Session Stealing - session je naviazaná na IP adresu, nie je možné ľubovoľne použiť session cookie, aplikácia je aj chránená proti útoku na Session Fixation.
 • SPAM - emailové adresy na stránke sú zakódované a zobrazené s využitím JavaScriptu, podobne formuláre sú chránené obfuscovaním HTML kódu s možnosťou vypnutia ochrany matematickým testom. Pre formuláre a vybrané moduly je možné aktivovať ochranu CAPTCHA testom.
 • Denial of Service (DOS) - formuláre a aplikačné moduly obsahujú integrovanú kontrolu limitujúcu počet odoslaní aj rýchlosť odosielanie formulárov a obmedzujú záťaž na server pri náročných operáciach.
 • Distributed Denial of Service (DOS) - redakčný systém WebJET podporuje beh s využitím rýchleho reverzného proxy pre vysokovýkonné poskytovanie web stránok s limitovaním počtu a rýchlosti jednotlivých HTTP požiadaviek.
 • Brute Force - pri zadaní nesprávneho mena alebo hesla je počas definovaného času znemožnené sa znova prihlásiť. Systém jednotne odpovedá pri zadaní nesprávneho mena alebo hesla, nie je možné identifikovať či je jedno z dvojice správne.
 • File Extension Handling - integrovaná kontrola nahrávaných súborov so zamedzením nahratia súborov s nebezpečnými príponami, pre formuláre možnosť definovať povolené prípony a maximálnu veľkosť súboru.
 • Cross-site Tracking (XST), HTTP Methods Testing - kontrola volaných HTTP metódy, WebJET povoľuje len potrebné GET a POST metódy.
 • Prihlasovanie do administrátorskej časti je možné obmedziť na vybrané IP adresy, je možné vynútiť zabezpečené spojenie.
 • Credentials transport - každej stránke je možné nastaviť požiadavku na zabezpečené spojenie, pre domény s dostupným SSL certifikátom je možné nastaviť vynútené odosielanie štandardných formulárov cez zabezpečené spojenie. Ľubovoľné časti webovej prezentácie v redakčnom systéme WebJET je možné chrániť heslom na úrovni sekcií, ako aj samostatných web stránok. Rovnako chránené sú fyzické súbory, poskytované na stiahnutie.
 • Multiplatform - redakčný systém WebJET je možné bez akejkoľvek potreby zmeny kódu prevádzkovať aj na platforme Windows, aj na platforme Linux / Unix. Ak sa niekedy v budúcnosti Vaša spoločnosť rozhodne, že platforma Windows nie je dostatočne zabezpečená proti vonkajším útokom, je možné jednoducho a bez komplikácií previesť systém na platformu Linux.
 • Auditing - všetky operácie na úrovni front-endu aj back-endu sú zaznamenávané v tzv. logoch. V záznamoch je možné rozlišovať operácie aj podľa používateľa, ktorý operáciu vykonal.
 • Aplikačná logika je rozdelená do dvoch častí podľa paradigmu Model View Controller: biznis vrstva (operácie s databázou)  je oddelená od prezentačnej vrstvy (HTML kód). Zároveň, biznis vrstva je na serveri v skompilovanom tvare a nie je možné ju priamym spôsobom meniť.

V prípade špecifických potrieb na zabezpečenie navrhujeme a realizujeme osobitné zabezpečenie web sídla, alebo administrátorskej časti podľa Vašich požiadaviek.

Prihlasovanie a zabezpečenie hesiel

Do redakčného systému WebJET sa štandardne prihlasuje zadaním prihlasovacieho mena a hesla. Prihlasovanie je následne overené na základe nastavených práv a buď povolené alebo zamietnuté. Všetky heslá sú na web serveri uchovávané vo forme hash-u s využitím náhodného reťazca (salt).

Na zvýšenie bezpečnosti je možné využiť šifrovaný HTTPS protokol, kedy je šifrovaná celá komunikácia medzi prehliadačom návštevníka a web serverom. Prihlasovací mechanizmus môže byť naviac rozšírený o overenie totožnosti prostredníctvom SMS správy.

Pravidelný bezpečnostný audit

Redakčný systém WebJET je vďaka svojej modularite úspešný ako riešenie menších komerčných subjektov, tak aj veľkých spoločností a bankových inštitúcií, pre potreby ktorých je systém pravidelne auditovaný nezávislými spoločnosťami na splnenie prísnych bezpečnostných kritérií. Odhalené potenciálne problémy sú opravené a zahrnuté do štandardných inštalácií pre ostatných klientov. Týmto procesom získavajú výhody auditovaného systému aj menšie a stredné spoločnosti.

WebJET patrí k popredným JAVA CMS systémom, s ktorým získate podporu vysokej úrovne zabezpečenia.

Máte otázky alebo potrebujete viac informácií?

© 2022 InterWay, a. s. Všetky práva vyhradené | Ochrana osobných údajov
Tieto stránky generuje redakčný systém WebJET.