fbpx
Introdu un termen de cautare si apasa Enter

#secondweek – Sfaturi de securitate pentru detinatorii de website-uri

In a doua saptamana a calatoriei noastre prin cauzele care genereaza vulnerabilitatile websie-urilor, vrem sa atragem atentia asupra celor mai bune practici de securitate pentru website-uri.

Cea mai buna modalitate de a asigura securitatea unui website este prin includerea practicilor de securitate in procesul de dezvoltare. In acest caz, practicile de securitate presupun dezvoltarea oricarui website/aplicatie tinand cont de securitatea cibernetica. Dupa cum am spus deja saptamana trecuta, scrierea de cod fara a acorda atentie securitatii cibernetice, orientat, in principal pe functionarea website-ului, genereaza o varietate de vulnerabilitati.

Totusi, avand in vedere ca multi au deja un website complet dezvoltat, in aceasta saptamana atentia noastra va fi orientata asupra practicilor de securitate aplicabile unui website functional si cum lipsa acestora poate slabi nivelul general al securitatii cibernetice.

Vom vorbi despre cateva practici simple, care se realizeaza intr-o singura etapa, precum si practici care presupun elaborarea unei strategii. Din prima categorie identificam urmatoarele:

  1. Implementarea HTTPS (la inceputul unui URL va aparea https://)

HTTPS este o metoda de criptare utilizata pentru a securiza comunicarea dintre un browser si un server web. Avand ca principal obiectiv securitatea datelor aflate in tranzit, HTTPS a fost utilizat la inceput pentru website-urile cu date sensibile.

In prezent, HTTPS a devenit un standard pe internet. Prin utilizarea sa in criptarea datelor in tranzit in ambele directii (spre server si dinspre server), protocolul HTTPS aduce beneficii atat utilizatorilor cat si detinatorilor de website-uri:

  • pentru utilizatori este un bun indicator ca au accesat serverul web potrivit si ca nu exista elemente care interfereaza/altereaza informatia. Astfel, HTTPS este eficient in prevenirea atacurilor man-in-the-middle – poti citi mai multe despre acest tip de atac cibernetic aici.
  • pentru detinatorii de website-uri, protocolul HTTPS ajuta la cresterea in rezultatele Google. Dupa cum Google a confirmat deja, algoritmii favorizeaza website-urile care utilizeaza protocol HTTPS pentru ca ofera o experienta mult mai sigura utilizatorilor de internet. Un website fara protocol HTTPS va fi marcat de google ca “not secure”.

In concluzie, implementarea protocolului HTTPS este necesara pentru orice website.

  1. Certificat SSL corespunzator

Pentru acest punct este necesara intelegerea diferentei dintre protocolul HTTPS si certificatul SSL.

Certificatul SSL este un certificat digital achizitionat si instalat pe un server, care cripteaza datele comunicate intre browser-ul utilizatorului si server-ul website-ului. Certificatul SSL activeaza protocolul HTTPS, astfel ca certificatul SSL si protocolul HTTPS sunt interconectate.

Suplimentar de criptare, un certificat SSL corespunzator va verifica si confirma autenticitatea entitatii care l-a solicitat.

In cazul unui atac man-in-the-middle, un tert pretinde ca este website-ul pe care incerci sa-l accesezi, astfel incat sa te pacaleasca si sa fure datele personale. Certificatul SSL dobandit de la furnizori de incredere va impiedica atacurile man-in-the-middle pentru ca identitatea entitatii care solicita certificat SSL este testata si verificata de furnizor. 

De asemenea, sa ai in vedere ca, atunci cand alegi un certificat SSL, anumiti furnizori efectueaza mai multe verificari de identitate decat altii.

  1. Utilizarea sigura a cookie-urilor

Cand vine vorba de cookie-uri, toata lumea stie ca ele sunt responsabile pentru experienta noastra extrem de personalizata pe internet. Cookie-urile sunt doar fisiere text care stocheaza informatii despre activitatea utilizatorilor pe website-uri (cautari, date de logare, etc.) si urmareste interactiunea dintre browser si serverul web. Avand in vedere ca cerintele in publicitatea online au devenit din ce in ce mai ridicate, au aparut cookie-uri noi, cu o capacitate de stocare din ce in ce mai mare de informatii diverse.

Cookie-urile prezinta vulnerabilitati tocmai pentru ca reprezinta doar text plan cu informatii care pot fi modificate sau rescrise. Poate te gandesti ca acele cookie-uri care sunt marcate ca fiind “sigure” (pentru ca sunt transmise prin protocol HTTPS) sunt protejate impotriva atacurilor man-in-the-middle. De fapt, protocolul HTTPS protejeaza doar confidentialitatea acestora, nu si integritatea lor. Astfel, chiar si cookie-urile sigure pot fi rescrise sau modificate.

Cateva tipuri de amenintari cibernetice sunt legate de cookie-uri: un atacator poate falsifica website-uri legitime pentru a fura cookie-urile utilizatorilor, atacatorul poate, de asemenea, fura cookie-uri nesigure pentru a falsifica utilizatori.

Incearca sa nu utilizezi cookie-uri pentru a stoca date extrem de sensibile, implementeaza protocol HTTPS, asigura-te ca utilizezi cookie-uri sigure si efectueaza o scanare a cookie-urile pentru a te asigura de confidentialitate, autenticitatea si integritatea lor.

Totusi, in contextul unui internet din ce in ce mai complex si periculos, trebuie sa fii organizat, informat si sa construiesti o strategie clara care sa asigure o protectie eficienta si sustenabila a website-ului tau. Daca vrei sa afli mai multe despre strategia de securitate cibernetica, poti sa afli cu usurinta aici.

Practicile descrise mai sus trebuie considerate pasi de baza, parte a unei strategii care implica:

  • efectuarea unei Evaluari de vulnerabilitati – OBLIGATORIU! nu putem evidenta suficient necesitatea unei Evaluari de vulnerabilitati pentru o strategie coerenta. In acest fel vei identifica toate datele sensibile pe care le administrezi si factorii care au impact asupra securitatii cibernetice a website-ului tau;
  • clasificarea riscurilor identificate. Evaluarea de vulnerablitati atribuie un anumit grad de risc vulnerabilitatilor. Astfel, vei putea sa faci un plan si sa incepi sa repari cele mai importante vulnerabilitati. Deci, resursele nu vor fi atribuite catre vulnerabilitati care nu sunt urgente si severe (vulnerabilitatile vor exista mereu, dar asta nu inseamna ca toate sunt extrem de grave);
  • efectuarea la un anumit interva de timp de teste de penetrare, care ofera o imagine de ansamblu asupra stadiului curent al securitatii si evolutia amenintarilor de securitate (e.g. daca au crescut ca grad de severitate). Pentru un rezultat corespunzator, ar trebui sa optezi pentru o combinatie intre instrumente manuale si automate aceasta fiind solutia cea mai cuprinzatoare pentru a obtine vizibilitate asupra vulnerabilitatilor.

Pe langa cele enumerate mai sus, nu ar trebui sa omiti cateva masuri simple dar eficiente precum update-ul constant al software-ului (update-urile vin de regula cu imbunatatiri de securitate), schimbarea parolelor cu unele puternice si unice, crearea de back up-uri (de fisiere, baze de date, plugin-uri, etc.) si utilizarea de firewalls.

Arunca o privire si asupra primului nostru articol din aceasta serie – erori de cod.

Va putem ajuta sa stati in siguranta!

Stim, de asemenea, cat de importante sunt costurile.

Ar trebui sa citesti si

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.