О КОМПАНИИ|МИССИЯ КОМПАНИИ|ПРИНЦИПЫ И ТЕХНОЛОГИИ|ПОРТФОЛИО|КОНТАКТЫ

        Расширенный поиск
                  Статьи     Энциклопедия     Новости     История     Ресурсы

Информация > Создание сайтов > Техническое задание

А Б В Г Д З И К Л М Н О П Р С Т Ф Ц Ч Ш Э Я     A B C E F G H I J L M N P Q S W X Y     Все  

Раздел "Требования к защите сайта от взлома" технического задания на создание сайта (портала)

Обычно вопросы защиты сайта от взлома практически не находят отражения в техническом задании (ТЗ) на создание сайта (портала), этот вопрос как бы отдается на откуп Подрядчику. Но в этом случае к нему невозможно применить и никаких претензий, даже если никаких мер не будет принято вообще.

Защита каналов ввода информации

Самый простой путь взлома сайта –это передать на него злонамеренные данные. Поэтому основной и самый простой путь защиты сайта - –это защита всех каналов ввода информации на сайт от хакера - Интернет-пользователя.

А этих каналов в современных сайтах достаточно много. И в техническом задании на создание сайта этот вопрос должен быть обязательно оговорен.

Ниже мы приводим слегка развернутое изложение вопроса, не для ТЗ, а для понимания. Подрядчика не надо учить, как делать, а задавать ему требования.

  1. Поля ввода пароля и логина администраторами и зарегистрированными пользователями должны быть ограничены по длине (не более 10-20 символов), при чтении логина и пароля должны исключаться все символы кроме букв, цифр и нижнего подчеркивания.
    В противном случае пользователем в эти (и другие) поля ввода могут быть загружены не логин и пароль, а специальные коды, воспринимаемые базой данных как команды доступа к самой базе данных сайта.
  2. Из полей ввода текстовых данных должны исключаться (или переводиться в символьное представление) все опасные символы.
  3. Данные, передаваемые на сайт в адресной строке, также должны быть защищены. На любом сайте любой пользователь может задать адрес страницы сайта в виде: http://sitename/pagename?A=text1&B=text2... Где все после знака “?” это так называемый GET-запрос, который используется при выводе страницы сайта.
  4.  Проверка загружаемых на сайт файлов на их тип (текстовый документ, картинка, видеофайл и т.д.). Если при проверке выясняется, что файл имеет не тот тип, который задан при вводе, загрузка блокируется. Причем проверку лучше делать именно по типу, а не по расширению файла.

По данному вопросу в ТЗ на создание сайта достаточно следующего пункта: «Должны быть пресечены все пути ввода несанкционированной зловредной информации Интернет-пользователем: поля ввода логина и пароля, текстовые поля ввода, адресная строка сайта, органы загрузки файлов на сайт, и т.д.

Защита пользовательской или административной сессии

При работе зарегистрированного пользователя или администратора конфиденциальная информация при переходе со страницы на страницу обычно передается в так называемой сессии, и эта сессия должна быть надежно защищена от перехвата идентификатора сессии и подмены сессии

Защита базы данных

Информация современного сайта хранится в базе данных, и потеря этой информации приводит к серьезным проблемам. Обычно можно сделать откат, но суточная (а то иболее, если потеря обнаружена не сразу)информация все равно будет потеряна.

При серьезных требованиях к защите сайта от взлома желательно полностью отделить базу данных от самого сайта. Для этого можно создать специальную простую базу данных сайта, которая периодически (или автоматически при изменениях данных) наполняется из основной базы данных, недоступной с самого сайта. Кроме того, создание подобной базы может существенно повысить быстродействие сайта, она без всякого ущерба надежности (которую определяет основная база данных) может быть оптимизирована для максимальной скорости вывода страниц сайта.

Защита административной системы

Для защиты административной системы сайта желательно создать ее на отдельном домене 3-го уровня, возможно с работой по заданным IP-адресам, работой по защищенному протоколу Интернет, т.е., фактически создать закрытый административный Интранет-портал.

Последние два решения эффективные, но трудоемкие в реализации, требуют увеличения бюджета сайта.

Использование подрядчиком бесплатных программ и готовых тиражируемых движков при создании сайта.

Этот путь существенно уменьшает стоимость создания сайта, но никак не приветствуется с точки зрения защиты сайта от взлома. Ведь взломав одну бесплатную программу, хакер автоматически взламывает все сайты, созданные с ее применением. Причем эта информация распространяется в Интернет, и ей может воспользоваться любой взломщик. Данный вопрос также должен быть отображен в техническом задании. 

Заключение

К сожалению, не существует и не может существовать 100% метода защиты сайта. Даже более того, в большинстве случаев взлом сайта происходит на компьютере администратора: загруженные трояны просто крадут пароли (выход, но опять же не 100%, –серьезная защита компьютера администратора, отказ от запоминания паролей в менеджерах доступа). Защита сайта должна быть комплексной и включать и организационные меры.

Степень защиты сайта должна быть такой, чтобы стоимость самой системы защиты была бы не больше стоимости вероятных потерь при взломе сайта.
 
Здесь кратко приведены только некоторые основные способы защиты, подрядчик может предложить и свои «фирменные» способы. При обсуждении ТЗ с подрядчиком стоит оценить стоимость всех возможных средств защиты от взлома и определить необходимость их использования каждого из них, после чего обоснованные средства включить в техническое задание (и в бюджет сайта). Ну а защиту каналов ввода информации пользователем на сайт нужно осуществлять во всех случаях.
 
В техническое задание на создание сайта можно включать следующие пункты: 
  1. Должны быть защищены все каналы возможного ввода злонамеренной информации пользователем: текстовые окна и редакторы, элементы загузки файлов, адресная строка сайта и т.д.
  2. При разработке сайта не должны использоваться бесплатные свободно распространяемые программы.
  3. При разработке сайта не должны использоваться платные тиражируемые программы неизвестных разработчиков.
  4. При создании сайта должна быть разработана инструкция администратора отражающая, в том числе, и организационные меры защиты по защите сайта при работе администраторов.
  5. Основная база данных сайта в которой хранится контент сайта и служебная информация не должна иметь доступа с самого сайта, а иметь доступ только из административной системы сайта.
  6. Административная система сайта должна работать по защищенному протоколу.
Первые четыре пункта обязательны для всех корпоративных сайтов, последующие - для сайтов с повышенной защитой.
 
Общие вопросы, возникающие при создании технического задания можно посмотреть здесь:
 
 
 
Пример технического задания на создание корпоративного сайта - поисковой системы:
 
 
 
 
 
 


21.10.2008

Перейти на Форум "Эффективное управление предприятием"


__________________
Версия для печати




ДРУГИЕ МАТЕРИАЛЫ ПО ТЕМЕ

Последние новости   Архив



Энциклопедия

Создание сайтов: совместная работа Заказчика и Подрядчика

1. Концепция и техническое задание (ТЗ) на создание сайта Техническое задание на создание сайта это основополагающий документ, определяющий весь ход ...читать статью


Статьи

Как составить техническое задание на создание сайта?


История

Что такое дизайн. История дизайна.

Что такое веб дизайн? Откуда произошло это понятие? Кого можно считать основоположниками дизайна? На эти и другие вопросы я постараюсь ответить в ...читать статью


Ресурсы

Составление технического задания сайта

При чтении важно понимать и помнить, что составление технического задания, как и проектирование, является всегда платной услугой, перейти

Корпоративный сайт компании «Корпоративные системы Интернет»
Москва, Б.Дмитровка, д.9, Издательство "Труд" Инспро-

Тел. (985) 362-99-64
Email: info@corpsys.ru

???????@Mail.ru     © 1997—2008 CopSite.ru