reklama

Strefa IBM System x

"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

popularne komentowane nowości

popularne

Najczęściej czytane

Nowy rok, nowe zagrożenia (czytane 5661 razy)
Chrome to wzorowo zabezpieczona przeglądarka? (czytane 3904 razy)
Adobe znów ma problem - luka "zero-day" w Acrobacie i Readerze (czytane 3835 razy)
Izrael oficjalnie o wojnie w Sieci (czytane 2245 razy)
Nowa luka w Adobe: exploit jest, ale na patcha poczekamy (czytane 2172 razy)

więcej...

Biblioteka Wiedzy poleca

ERP dla średniej firmy: Od czego zacząć?

Wybór systemu ERP to jedna z najważniejszych decyzji podejmowanych przez przedsiębiorstwo. Dlatego powinny ją poprzedzić rzetelne przygotowania....
pobierz »

Jak zwiększyć produktywność zdalnych pracowników

Bariery technologiczne sprawiają, że praca zdalnych pracowników w Twojej firmie jest mało efektywna? Zapoznaj się z raportem Yankee Group i dowiedz...
pobierz »

Przyczyny nieudanych implementacji zabezpieczeń IT

Wdrożenie rozwiązań zabezpieczających infrastrukturę informatyczną nie zawsze podnosi poziom ochrony przetwarzanych danych. Czasami inwestycja okazuje...
pobierz »

Więcej bezpłatnych raportów w serwisie

powiększ tekst

AKTUALNOŚCI

Drupal na celowniku - jak zbudować bezpieczny CMS

10 maja 2008

Paweł Krawczyk

Darmowy system zarządzania serwisem WWW Drupal (www.drupal.org) jest w Polsce rozpowszechniony w stopniu proprocjonalnym do jego bogatej funkcjonalności. Na Drupalu działają serwisy setek osób prywatnych, stowarzyszeń, firm i instytucji publicznych. Łatwo też znaleźć firmy specjalizujące się w tworzeniu projektów stron pod Drupala. Prezentujemy najbardziej przydatne moduły do tego systemu, istotne z punktu widzenia bezpieczeństwa.

Temat bezpieczeństwa serwisów tego typu pojawia się w mediach cyklicznie, falami - po spektakularnym włamaniu jest nagłaśniany, potem przycicha, aż do następnego włamania. Niestety, jeśli w podobny sposób czyli sporadycznymi zrywami dba się o bezpieczeństwo platformy, to wcześniej czy później kończy się wpadką jaką zaliczyły niedawno Ministerstwo Pracy czy Kancelaria Premiera. To znaczy z podmienioną stroną WWW.
Drupal sam z siebie jest systemem stosunkowo bezpiecznym - w 2008 roku we wszystkich komponentach Drupala znaleziono 16 dziur, z czego tylko jedna dotyczyła samego CMS ("core"), a reszta - modułów pisanych dla niego przez różne osoby. Taki wynik osiągnięto dzięki konsekwentnemu forsowaniu przez autorów systemu jednolitego API do obsługi formularzy i zapytań SQL - czyli tych miejsc aplikacji webowej, które są najbardziej narażone na błędy programisty i w konsekwencji atak. Większość błędów w modułach zewnętrznych wynikała właśnie z niestosowania lub błędnego stosowania API.

Dla Drupala napisano setki modułów, realizujących najróżniejsze funkcje, jakie tylko mogły przyjść do głowy webmasterom. Wiele z nich dotyczy także bezpieczeństwa - wszystkie opisane poniżej moduły można znaleźć na stronie Drupal Modules.

Niezbędny Firewall

Obowiązkowym dodatkiem do serwisu postawionego na Drupalu jest moduł PHPIDS, czyli połączenie firewalla aplikacyjnego z systemem wykrywania włamań dla aplikacji napisanych w PHP. Moduł ten osadza w Drupalu właściwy kod projektu dostępny na jego stronie. W praktyce instalacja modułu jest stosunkowo prosta i nie nastręcza większych trudności. Ze względu na to, że moduł ingeruje w Drupala na niskim poziomie, jest on wrażliwy na wersje środowiska, w którym działa CMS. W szczególności konieczna jest aktualna wersja PHP. Zaletą korzystania z PHPIDS jest automatyczne blokowanie wszelkich prób wykonania w serwisie klasycznych ataków na aplikacje webowe - takich jak XSS (Cross-Site Scripting), SQL Injection czy CSRF. Aktualna wersja Drupala powinna być oczywiście przed nimi zabezpieczona, ale PHPIDS zapewnia tutaj dodatkowy margines bezpieczeństwa na przypadek odkrycia nowej dziury w którymś z modułów.

Nie wpuszczaj spamerów

Postawienie serwisu dopuszczającego komentarze i niezabezpieczonego przed spamem oznacza zalanie go spamem w ciągu kilku tygodni od premiery. Znaczna część ruchu obsługiwanego przez przeciętny serwer WWW to ruch generowany właśnie przez różnego rodzaju automaty - jedne z nich zbierają adresy email dla spammerów, inne próbują publikować komentarze promujące strony porno lub leki na potencję, a jeszcze inne próbują zgadywać hasła użytkowników.

12 3 4 dalej »

Wystaw ocenę:

Średnia ocena (liczba głosów: 7)

wydrukuj

wyślij do znajomego

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

Liczba zatwierdzonych komentarzy (4) |
dodaj komentarz |
zobacz wszystkie

gawel

ocena: 1
IP: 87.205.250.28
18-06-2008, 00:28

Hałtura, Panie, hałtura.
Zero konkretów, kilka odwołań do niestandartowych modułów bez pogłębienia wiedzy o nich.
Wykożystanie Drupala w Polsce jest wprostproporcjonalne do wiedzy o nim.
Zaraz, ale tam były linki do prac tego autora - więc może to jest po prostu SPAM?

hejka

ocena: 5
IP: 81.129.88.189
01-07-2008, 00:51

Bardzo dobry artykuł i z pewnością pogłębił moją wiedzę na temat utrzymywania drupala i stron opartych na nim w dobrej kondycji.

Regulamin i polityka prywatności
Kontakt