Gostovanje je danes postalo relativno enostavna reč. Najamemo neko domeno, zakupimo prostor na spletnem strežniku, naložimo fajle neke spletne aplikacije nekje z interneta, vpišemo zraven naše ime ali ime našega podjetja in že imamo svojo spletno stran, ki jo lahko ponosno razkazujemo. Vse skupaj se nam zdi fino in fajn in pričakujemo, da bo stran v taki obliki delovala na tak način, dokler bomo to želelo.
No, pa ni čisto tako.
Problemov pri tem pristopu je za cel seznam. Pojdimo po vrsti.
Izbira gesla za dostop do strežnika.
Postavitev lastne spletne strani je dejanje, ki se izvede enkrat, potem pa se vsebina zgolj redko dopolnjuje. Ker med uporabo tega gesla lahko preteče kar nekaj mesecev, opažamo, da si uporabniki radi izberete enostavna gesla, ki si jih lahko hitro zapomnite. Pri tem pozabljate, da vaše geslo ne zanima samo vas, pač pa tudi vse nepridiprave, ki iščejo naključni spletni strežnik, na katerem bi lahko poganjali svojo zlonamerno kodo. Tako so danes napadi po slovarju (t.i. dictionary attack) vsakodnevni pojav. Napadalci kot gesla sprobavajo nabor pogosto uporabljanih gesel in pri tem vse prevečkrat uspejo.
Varnost osebnega računalnika
Drugo mesto, kjer napadalci lahko izvejo vaše geslo, je vaš osebni računanik. Okužbe windows računalnikov so vse preveč pogoste, najboljši protivirusni programi pa odkrijejo le okrog 60% vse zlonamerne kode. Tako lahko pritajen program na vašem računalniku spremlja vse, kar tipkate in v tem išče določene vzorce (recimo email naslov, ftp login, številka kreditne kartice) ter zbrane podatke pošilja svojemu operaterju. Ta jih nato preveri in informacije proda na črnem trgu.
“Neka” aplikacija
Le redki danes še gradite svoje spletne strani sami, lastnoročno. Večina vas za to uporabi nek CMS (content management system - sistem za upravljanje vsebin), ki je na voljo kot prosto programje. Ko v njem enkrat vzpostavite stran, vas nadgradnja na novejšo verzijo mika le v primeru, če ima novejša verzija res kak “kul feature”, ki bi vam olajšal življenje. Če ima verzija, ki jo uporabljate vi, kako varnostno pomankljivost, vas to ne zanima, ker to ni vaš problem. Pa bi moral biti. Napadalci namreč s pomočjo iskalnika zgradijo sezname strani, ki uporabljajo spletno aplikacije določene ranljive verzije in tako avtomatično in sistematično zlorabijo vse strani s seznama in si jih, če ranljivost to omogoča, podredijo v svojo korist. Vsebino strani danes spreminjajo (t.i. defacing) le še najbolj pobalinski napadalci, vsi malce bolj zreli pa zadevo obrnejo v svojo finančno korist. V vašo in našo škodo.
“Nekje” z interneta
Pred namestitvijo vaše izbrane spletne aplikacije bodite pozorni tudi na to, od kod ste jo prenesli k sebi. Znani so primeri vdorov v sistem distribucije aplikacij, ko so napadalci v določene arhive (zip, tar.gz) podtaknili svojo zlonamerno kodo. Danes se skoraj vse aplikacije distribuirajo tudi s svojim digitalnim podpisom (md5, pgp ali kaj podobnega), zato je pametno vedno preveriti podpis datoteke, ki ste si jo prenesli. Vsekakor to storite, še preden jo naložite na strežnik.
Delovanje za večno
Internet je izredno dinamično okolje. Stran, ki ste si jo zgradili pred nekaj leti, danes v celoti deluje zgolj izjemoma. Jezik, v katerem je stran napisana (najbolj pogosto gre za PHP), se spreminja in zori. Kot ponudnik smo razpeti med strankami, ki si želijo le “latest & greatest” programsko opremo ter strankami, ki bi rade poganjale svojo aplikacijo iz formalina. Verjamemo, da ima vsaka stranka tehtne razloge za svojo izbiro, a nažalost lahko v celoti podpremo le večino uporabnikov.
Vsem “specialcem” zato predlagamo lastno okolje VPS, v katerem lahko poganjajo aplikacije po svojih željah in specifikacijah.
Dobrodošli na Wild Wild Web.