V okviru bogatega dogajanja s področja IT v mesecu oktobru (še več dogodkov nas čaka v sklopu Internet Week Ljubljana, pa še Evropski mesec kibervarnosti je), sta včeraj SI-CERT in podjetje Domovanje d.o.o. organizirala srečanje slovenskih spletnih razvijalcev z naslovom »Kdo bo plačal varnostno luknjo?«. Predavatelja, vodja SI-CERT Gorazd Božič in direktor podjetja Domovanje d.o.o. Uroš Čimžar, sta izpostavila nekaj ključnih dejstev, ki upamo, da bodo v pomoč.
TOP 10 LEKCIJ ALI KAJ SMO ODNESLI OD SREČANJA SPLETNIH RAZVIJALCEV?
1. Čas garažnih internet mojstrov je minil, spletnega mesta se je potrebno lotiti z ustrezno profesionalno podporo. To bodo morali spoznati predvsem lastniki spletnih mest!
2. Najpogostejše posledice vdorov v spletna mesta so phishing, razobličenje, okužbe v mimohodu (drive-by-download).
3. Ponudnik gostovanja ni odgovoren za uporabnikove vsebine na strežniku, do tistega trenutka, ko je o protipravnosti obveščen. Nato mora ukrepati!
4. Spletni razvijalec ni strokovnjak za šifriranje, zato ne izumljajte svojih šifrirnih algoritmov, ampak uporabite že preverjene.
5. Top tehnike varnosti so: konfiguracija, preverjanje vhodnih podatkov, obravnava napak, šifriranje podatkov, ločitev kode od podatkov, varnostne kopije. Predvsem na slednje razvijalci pogosto pozabljajo!
6. Vsak spletni razvijalec bi moral poznati ranljivosti spletnih aplikaciji, ki so navedene v dokumentu OWASP TOP 10.
7. Vsak osnovni paket vzdrževanja spletnih strani bi moral že vsebovati varnostne popravke. Naj ti ne bodo ponujeni šele kot dodatna opcija!
8. Varnost strežnika lahko povečate, če na strežniku izklopite storitve, ki so privzeto nameščene, a jih ne potrebujete.
9. Ko kupujete VPS vedno preverite, kakšen način virtualizacije omogoča. Pomembno je, da omogoča tudi »live migration«, sicer bo ob kakršnih koli spremembah (selitve, nadgradnje…) strežnik po nepotrebnem nedosegljiv.
10. Vedno tudi preverite, kakšen postopek nadgradenj vam omogoča kupljeni VPS. Že ob nakupu mora biti jasno, kdo bo vaš VPS vzdrževal.