popularne
Najczęściej czytane
- Jak skutecznie chronić się przed DDoS? (czytane 1240 razy)
- Na co zwrócić uwagę przy wdrożeniu IPS i DLP? (czytane 279 razy)
- Krajowe Ramy Interoperacyjności opublikowane (czytane 40 razy)
Biblioteka Wiedzy poleca
Office 365 - podręcznik użytkownika
Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »
Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe
Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »
Dlaczego warto korzystać z Office 365?
Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »
powiększ tekst 
AKTUALNOŚCI
Drupal na celowniku - jak zbudować bezpieczny CMS
10 maja 2008
Paweł Krawczyk Darmowy system zarządzania serwisem WWW Drupal (www.drupal.org) jest w Polsce rozpowszechniony w stopniu proprocjonalnym do jego bogatej funkcjonalności. Na Drupalu działają serwisy setek osób prywatnych, stowarzyszeń, firm i instytucji publicznych. Łatwo też znaleźć firmy specjalizujące się w tworzeniu projektów stron pod Drupala. Prezentujemy najbardziej przydatne moduły do tego systemu, istotne z punktu widzenia bezpieczeństwa.Drupal sam z siebie jest systemem stosunkowo bezpiecznym - w 2008 roku we wszystkich komponentach Drupala znaleziono 16 dziur, z czego tylko jedna dotyczyła samego CMS ("core"), a reszta - modułów pisanych dla niego przez różne osoby. Taki wynik osiągnięto dzięki konsekwentnemu forsowaniu przez autorów systemu jednolitego API do obsługi formularzy i zapytań SQL - czyli tych miejsc aplikacji webowej, które są najbardziej narażone na błędy programisty i w konsekwencji atak. Większość błędów w modułach zewnętrznych wynikała właśnie z niestosowania lub błędnego stosowania API.
Dla Drupala napisano setki modułów, realizujących najróżniejsze funkcje, jakie tylko mogły przyjść do głowy webmasterom. Wiele z nich dotyczy także bezpieczeństwa - wszystkie opisane poniżej moduły można znaleźć na stronie Drupal Modules.
Niezbędny Firewall
Obowiązkowym dodatkiem do serwisu postawionego na Drupalu jest moduł PHPIDS, czyli połączenie firewalla aplikacyjnego z systemem wykrywania włamań dla aplikacji napisanych w PHP. Moduł ten osadza w Drupalu właściwy kod projektu dostępny na jego stronie. W praktyce instalacja modułu jest stosunkowo prosta i nie nastręcza większych trudności. Ze względu na to, że moduł ingeruje w Drupala na niskim poziomie, jest on wrażliwy na wersje środowiska, w którym działa CMS. W szczególności konieczna jest aktualna wersja PHP. Zaletą korzystania z PHPIDS jest automatyczne blokowanie wszelkich prób wykonania w serwisie klasycznych ataków na aplikacje webowe - takich jak XSS (Cross-Site Scripting), SQL Injection czy CSRF. Aktualna wersja Drupala powinna być oczywiście przed nimi zabezpieczona, ale PHPIDS zapewnia tutaj dodatkowy margines bezpieczeństwa na przypadek odkrycia nowej dziury w którymś z modułów.
Nie wpuszczaj spamerów
Postawienie serwisu dopuszczającego komentarze i niezabezpieczonego przed spamem oznacza zalanie go spamem w ciągu kilku tygodni od premiery. Znaczna część ruchu obsługiwanego przez przeciętny serwer WWW to ruch generowany właśnie przez różnego rodzaju automaty - jedne z nich zbierają adresy email dla spammerów, inne próbują publikować komentarze promujące strony porno lub leki na potencję, a jeszcze inne próbują zgadywać hasła użytkowników.
wydrukuj
Komentarze
- Liczba zatwierdzonych komentarzy (4) |
- dodaj komentarz |
- zobacz wszystkie
gawel
- ocena: 1
- IP: 87.205.250.28
- 18-06-2008, 00:28
Hałtura,
Zero
Wykożystanie
Zaraz,
hejka
- ocena: 5
- IP: 81.129.88.189
- 01-07-2008, 00:51
Bardzo
04-204 Warszawa ul. Jordanowska 12
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2012 IDG Poland SA
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2012 IDG Poland SA
