Informačná bezpečnosť

Bezpečnosť webových riešení alebo Prečo je dôležitá aktualizácia

Ne­pries­trel­nosť zdro­jo­vé­ho kó­du aké­ho­koľ­vek sof­tvé­ru, webo­vé rie­še­nia ne­vy­ní­ma­júc, je pre kaž­dé­ho prog­ra­má­to­ra nie­čo ako nir­vá­na - všet­ci o nej sní­va­jú, ale iba veľ­mi vý­ni­moč­ne sa ju po­da­rí nie­ko­mu do­siah­nuť.

Vý­voj aké­ho­koľ­vek sof­tvé­ro­vé­ho rie­še­nia dnes už ne­mož­no reali­zo­vať bez jed­né­ho z hlav­ných as­pek­tov, kto­rým je je­ho za­bez­pe­če­nie pred útok­mi, poš­ko­de­ním či uk­rad­nu­tím ulo­že­ných dát. Pri webo­vých rie­še­niach je tá­to té­ma eš­te ak­tuál­nej­šia, keď­že web je zvy­čaj­ne prís­tup­ný aké­mu­koľ­vek náv­štev­ní­ko­vi, a te­da aj po­ten­ciál­ne­mu útoč­ní­ko­vi. Webo­vé rie­še­nia sa v sú­čas­nos­ti naj­čas­tej­šie reali­zu­jú tro­mi spô­sob­mi:

  1. vý­voj na mie­ru
  2. vý­voj na vlas­tnej ko­mer­čnej plat­for­me ale­bo fra­mewor­ku
  3. vy­uži­tie/vý­voj na exis­tu­jú­com open sour­ce CMS

VÝVOJ WEBU NA MIE­RU

V tom­to prí­pa­de je ce­lé webo­vé rie­še­nie a kaž­dá je­ho sú­časť nap­rog­ra­mo­va­ná od zá­kla­du. Vý­voj by ma­la jed­noz­nač­ne pred­chá­dzať dis­ku­sia so zá­kaz­ní­kom o je­ho pred­sta­vách o di­zaj­ne a fun­go­va­ní pro­jek­tu a nás­led­ne pod­rob­ná ana­lý­za fun­kčnos­ti, pro­ce­sov a návr­hu rie­še­nia. Prog­ra­mo­va­nie sa už po­tom reali­zu­je pod­ľa vy­tý­če­nej ma­py prác. Bez­peč­nosť ta­kých­to webo­vých rie­še­ní je veľ­mi pál­či­vá té­ma hlav­ne pri men­ších pro­jek­toch, kde nie je roz­po­čet na roz­sia­hlej­šie tes­to­va­nie a prá­ce zvy­čaj­ne vy­ko­ná­va ma­lý po­čet prog­ra­má­to­rov (čas­to je­di­ná oso­ba). Vo­dou na mlyn útoč­ní­kom je aj čas­tá oje­di­ne­losť ďal­šie­ho roz­vo­ja nap­rog­ra­mo­va­né­ho rie­še­nia, resp. mi­ni­ma­li­zo­va­nie vý­vo­ja na ve­ci, ako je napr. kom­pa­ti­bi­li­ta s no­vý­mi ver­zia­mi pre­hlia­da­čov či úp­ra­vy di­zaj­nu. Otáz­ka bez­peč­nos­ti sa tu tak ob­ja­ví naj­čas­tej­šie až vte­dy, keď je už nes­ko­ro a web je na­pad­nu­tý.

VÝVOJ WEBU NA KO­MER­ČNEJ PLAT­FOR­ME/FRA­MEWOR­KU

V sú­čas­nos­ti asi naj­roz­ší­re­nej­ší spô­sob tvor­by webo­vých rie­še­ní je ich reali­zá­cia do­dá­va­teľ­mi na vlas­tnom vy­vi­nu­tom sys­té­me. Väč­ši­na tak­to inter­ne vy­vi­nu­tých sys­té­mov na sprá­vu webu je dnes už pos­ta­ve­ná na všeo­bec­ne za­uží­va­ných prin­cí­poch bez­peč­nos­ti, vďa­ka čo­mu je ri­zi­ko na­pad­nu­tia ci­teľ­ne men­šie. Vý­ho­da webo­vé­ho rie­še­nia na ta­kom­to sys­té­me je je­ho mo­du­lár­nosť (ta­ké­to sys­té­my zvy­čaj­ne fun­gu­jú na prin­cí­pe zá­kla­du „za­dar­mo" a nás­led­né­ho do­ku­po­va­nia jed­not­li­vých sú­čas­ti, t. j. mo­du­lov) a ta­kis­to pred­pok­la­da­ný prie­bež­ný vý­voj (ak má fir­ma dos­ta­tok zá­kaz­ní­kov, kto­rý jej ten­to vý­voj za­pla­tia). Ne­vý­ho­dou ta­ké­ho­to sys­té­mu mô­že byť jed­nos­tran­ná zá­vis­losť od jed­né­ho do­dá­va­te­ľa a prob­le­ma­tic­ký vstup iných/exter­ných vý­vo­já­rov do ta­ké­ho­to sys­té­mu pre li­cen­cie a ochra­nu autor­ských práv.

VÝVOJ WEBU NA EXIS­TUJÚCOM OPEN SOUR­CE CMS

Open sour­ce re­dak­čné sys­té­my na tvor­bu webo­vých strá­nok za­zna­me­ná­va­jú tak na Slo­ven­sku, ako aj vo sve­te veľ­mi dy­na­mic­ký roz­voj. Sys­té­my ako WordPress, Joom­la, Ma­gen­to, Dru­pal či TY­PO3 do­ká­žu v sú­čas­nos­ti pok­ryť všet­ky po­žia­dav­ky na tvor­bu mo­der­né­ho a dy­na­mic­ké­ho webu. Ich roz­mach sú­vi­sí nie­len s neus­tá­lym vý­vo­jom a pod­po­rou veľ­kej ko­mu­ni­ty, ale pre­dov­šet­kým so zlep­šo­va­ním bez­peč­nos­ti ot­vo­re­né­ho a voľ­ne dos­tup­né­ho kó­du tých­to sys­té­mov. Ob­rov­ská vý­ho­da open sour­ce CMS op­ro­ti dvom pre­doš­lým spô­so­bom je v mož­nos­ti tes­to­va­nia sys­té­mu pou­ží­va­teľ­mi, kto­rých poč­ty ne­zried­ka do­sa­hu­jú rá­do­vo mi­lió­ny až de­siat­ky mi­lió­nov. Mož­nosť ob­ja­ve­nia „di­ery" v sys­té­me už pri tes­to­va­ní je tak pod­stat­ne vy­ššia než pri rie­še­ní tes­to­va­nom nie­koľ­ký­mi ľuď­mi, v lep­šom prí­pa­de de­siat­ka­mi zá­kaz­ní­kov, vy­uží­va­ný­mi ako po­kus­né krá­li­ky. Jed­noz­nač­ná ne­vý­ho­da re­dak­čných sys­té­mov s ot­vo­re­ným kó­dom v po­rov­na­ní s vý­vo­jom na mie­ru, resp. inter­ne vy­vi­nu­tým CMS je jed­no­duch­šia mož­nosť ob­ja­ve­nia a vy­uži­tia bez­peč­nos­tnej di­ery útoč­ník­mi.

Kom­bi­ná­cia tes­to­va­nia, neus­tá­le­ho vý­vo­ja a vy­dá­va­nia prie­bež­ných ak­tua­li­zá­cií je te­da naj­lep­ší spô­sob, ako za­bez­pe­čiť webo­vé rie­še­nie pred útok­mi.

Vý­ber spô­so­bu reali­zá­cie webo­vé­ho rie­še­nia, resp. vý­ber sys­té­mu na sprá­vu webu by mal po­dlie­hať tým­to zá­klad­ným pra­vid­lám:

  • his­tó­ria/zá­ze­mie re­dak­čné­ho sys­té­mu na tr­hu (resp. his­tó­ria a zá­ze­mie fir­my, kto­rá bu­de sys­tém v prí­pa­de rie­še­nia na mie­ru vy­ví­jať)
  • prie­bež­ný vý­voj sys­té­mu a je­ho ak­tuál­nosť (dy­na­mic­ký vý­voj webo­vých tech­no­ló­gií vy­ža­du­je neus­tá­ly a prie­bež­ný roz­voj sys­té­mov, inak sa veľ­mi sko­ro mô­žu stať za­sta­ra­ný­mi)
  • dos­ta­toč­né ši­ro­ká vý­vo­jár­ska zá­klad­ňa na prie­bež­ný vý­voj sys­té­mu
  • dos­ta­toč­ne ši­ro­ká pou­ží­va­teľ­ská/zá­kaz­níc­ka zá­klad­ňa na tes­to­va­nie
  • po­ten­ciál sys­té­mu do bu­dúc­nos­ti, roz­ši­ro­va­nie fun­kcio­na­lít, zvy­šo­va­nie kva­li­ty zdro­jo­vé­ho kó­du, im­ple­men­tá­cia no­vých webo­vých tech­no­ló­gií

Kde je te­da hlav­ný prob­lém bez­peč­nos­ti webo­vých rie­še­ní? Naj­čas­tej­šie je to prá­ve „ľud­ský fak­tor", ľu­do­vo po­ve­da­né, prob­lém je me­dzi klá­ves­ni­cou a sto­lič­kou. Vlas­tní­ci webo­vých strá­nok be­rú bez­peč­nosť sys­té­mov ne­raz veľ­mi ľah­ko­váž­ne. Nás­led­ná náp­ra­va po­tom bý­va čas­to mno­ho­ná­sob­ne drah­šia než prie­bež­ný roz­voj.

Vý­znam­ný dô­vod níz­kej bez­peč­nos­ti webov je aj po­mer­ne čas­tá reali­zá­cia spô­so­bom „urob si sám", hlav­ne pri ma­lých a stred­ných rie­še­niach. Ta­ký­to tvor­co­via, žiaľ, v dr­vi­vej väč­ši­ne prí­pa­dov ne­ma­jú zna­los­ti ani skú­se­nos­ti s údr­žbou webu a je­ho sys­té­mu (zdro­jo­vé­ho kó­du). Vý­sled­kom je ob­rov­ské množ­stvo webo­vých strá­nok, kto­ré fun­gu­jú na neak­tuál­nych, ne­raz aj nie­koľ­ko ro­kov sta­rých tech­no­ló­giách (ver­ziách CMS), a to nie­len pri open sour­ce sys­té­moch, ale aj pri rie­še­niach na mie­ru či ko­mer­čných CMS. Star­šie ver­zie sys­té­mov a zdro­jo­vé­ho kó­du čas­to ob­sa­ho­va­li ob­ja­ve­né bez­peč­nos­tné di­ery roz­lič­nej prio­ri­ty, rôz­ne chy­by a ne­do­ko­na­los­ti, kto­ré by sa ľah­ko vy­rie­ši­li ak­tua­li­zá­ciou.

Pos­tup pri ak­tua­li­zá­cii webo­vé­ho rie­še­nia by mal za­hŕňať mi­ni­mál­ne tie­to úko­ny:

  • Ma­naž­ment ri­zi­ka pred ak­tua­li­zá­ciou (ana­lý­za webo­vej strán­ky pred ak­tua­li­zá­ciou, zis­te­nie tech­nic­kých prob­lé­mov, zis­te­nie po­ten­ciál­nych ri­zík ak­tua­li­zá­cie atď.)
  • Spra­co­va­nie ana­lý­zy, príp­ra­va ak­tua­li­zač­né­ho ba­líč­ka (no­vej ver­zie CMS, ak­tua­li­zo­va­ných čas­tí zdro­jo­vé­ho kó­du)
  • Kom­plet­ná zá­lo­ha ce­lej webo­vej strán­ky
  • In­šta­lá­cia ak­tua­li­zá­cie, resp. up­ra­ve­ných čas­tí zdro­jo­vé­ho kó­du
  • Otes­to­va­nie fun­kčnos­ti webu po je­ho ak­tua­li­zá­cii

Im­rich Ko­val, ME­RI­NEO, s.r.o., me­ri­neo@me­ri­neo.sk

Zdroj: IW 5-6/2014


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Cloud a je­ho do­sah na vý­voj IT tr­hu. CFO a CIO to vi­dia inak.
Ako môže ovplyvniť nástup cloudových technológií rozhodovacie a prevádzkové procesy v bežnej ekonomicky aktívnej spoločnosti? čítať »
 
Vy­uži­tie sen­zo­rov
Moderné tablety a konvertibilné zariadenia pod taktovkou operačného systému Windows 8.1 sú vybavené niekoľkými užitočnými senzormi, ktoré môžete využiť vo svojich aplikáciách. Spravidla ide o kompas, akcelerometer, gyroskop, náklonomer a snímač intenzity osvetlenia.  čítať »
 
No­vý Thin­kPad X1 Car­bon
ThinkPad X1 Carbon tretej generácie je naozaj veľmi ľahký vďaka tomu, že je vyrobený z karbónového vlákna, ktoré má menšiu hmotnosť ako horčíkové alebo hliníkové. Vďaka konštrukcii z uhlíkových vlákien je model X1 Carbon vôbec najodolnejší notebook z radu ThinkPad. čítať »
 
Da­ta Dis­co­ve­ry - ob­ja­vo­va­nie vzo­rov v dá­tach
Dnes hýbu svetom biznisu nielen peniaze, ale hlavne informácie. V tejto informačnej dobe sa na dáta, ako aj na nástroje na ich spracovanie kladú vysoké nároky. čítať »
 
No­vý pro­ce­sor IBM Power8: 50× rých­lej­ší pri ana­lý­ze dát ako x86
Spoločnosť IBM predstavila prvé servery vybavené novou generáciou procesora Power8. Zároveň pripomenula svoju nadáciu, ktorá otvára architektúru POWER záujemcom o jej ďalší vývoj. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter