reklama
"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację. popularne
Najczęściej czytane
- Ukryta wiadomość w logo jednostki do walki z cyberterroryzmem (czytane 5185 razy)
- Nowe narzędzia do łamania GSM (czytane 3608 razy)
- CRASH - system odpornościowy dla sieci (czytane 3560 razy)
- Jeden z deweloperów włamał się do App Store i iTunes (czytane 3508 razy)
- Przynęty na hakerów (czytane 3308 razy)
Biblioteka Wiedzy poleca
Dynamiczna kostka: moc wirtualizacji w olsztyńskim RCI
Niższe rachunki za energię, wysoka wydajność i zwiększona dostępność systemu - to korzyści w obszarze IT jakie Uniwersytet Warmińsko Mazurski uzyskał...
pobierz »
Raport o internetowych zagrożeniach bezpieczeństwa
"Internet Security Threat Report" - kolejna edycja znanego raportu firmy Symantec zawierającego globalny przegląd stanu bezpieczeństwa w Internecie....
pobierz »
Implementing IBM Systems Director 6.1
Poznaj możliwości noweczesnego systemu zarządzającego całą infrastrukturą IT. IBM Systems Director 6.1. jest jedynym na rynku bezpłatnym systemem o...
pobierz »
Drupal na celowniku - jak zbudować bezpieczny CMS
10 maja 2008
Paweł KrawczykPierwszą linią obrony jest moduł http:BL (httpbl), który blokuje wejścia na stronę z adresów IP wpisanych na czarną listę Project Honepot. Trafiają na nią roboty spammerskie wyłapane przez rozsiane po całym świecie sensory projektu. Zaletą korzystania z http:BL jest odciążenie serwisu z jałowego ruchu generowanego przez roboty indeksujące go w złych intencjach. Potencjalnym efektem ubocznym może być sporadyczne wyfiltrowanie legalnych użytkowników, jeśli weszli oni z dynamicznego adresu IP wcześniej należącego do spammera. Poza korzystaniem z usług Project Honeynet każdy administrator może również uruchomić taki sensor u siebie w postaci prostej strony WWW.
Więcej o tego typu czarnych listach pisaliśmy w artykule "Czarne listy nie tylko dla poczty". Dalsze metody walki ze spamem można podzielić na aktywne i profilaktyczne. Metody aktywne to przede wszystkim moderowanie komentarzy i nowych użytkowników, co może być pożądane nie tylko z punktu widzenia walki ze spamem. Moderowanie nowych treści ma jednak zasadniczą wadę - wymaga odpowiedniej liczby zaangażowanych w tą działalność osób. W przeciwnym razie publikacja komentarzy może się opóźniać, a serwis traci na dynamice wymiany opinii. Na szczęście Drupal oferuje szereg modułów pozwalajacych na automatyczne blokowanie spamu praktycznie ze stuprocentową skutecznością. Zalecana w takim przypadku polityka powinna polegać na dopuszczeniu automatycznej rejestracji użytkowników pod warunkiem poprawnej weryfikacji emailowej (zakładka User settings w sekcji User Administration) oraz - obowiązkowo - włączeniu mechanizmu CAPTCHA.
Mechanizm CAPTCHA - czyli obrazki, które musi rozszyfrować użytkownik by dowieść że nie jest botem - to bardzo skuteczna metoda eliminacji spammerów i botów. Równocześnie jednak postęp technologiczny w zakresie automatycznego zgadywania obrazków CAPTCHA powoduje, że standardowe mechanizmy oferowane przez moduł Captcha należy potraktować jako niewystarczające i nieskuteczne. Obrazki generowane przez te moduły, a tym bardziej równania arytmetyczne, są obecnie bez problemu łamane przez automaty spammerskie. Stosunkowo wysoką skutecznością wykazuje się natomiast moduł reCAPTCHA, działający w oparciu o słowa pobrane z literatury drukowanej, z którymi nie poradziły sobie programy OCR. Słowa te są najczęściej względnie czytelne dla człowieka (a na pewno bardziej niż niektóre pstrokate wizje standardowych CAPTCHA) i praktycznie niemożliwe do zgadnięcia do automatów. Moduł reCAPTCHA wymaga zainstalowania modułu CAPTCHA bo wykorzystuje niektóre jego funkcje. W serwisie należy jednak posługiwać się tylko funkcjami reCAPTCHA. Sama instalacja modułu reCAPTCHA wymaga dogrania do katalogu w którym jest zainstalowany oryginalnej biblioteki projektu reCAPTCHA - jest to dobrze opisane w dokumentacji i nie nastręcza żadnych problemów.
Bezpieczeństwo haseł
W swojej praktyce spotykałem się z poważnymi portalami, w których hasło głównego redaktora brzmiało na przykład "polityka" czy "marysia123", o hasłach użytkowników nie wspominając. Dla narzędzi do słownikowego łamania haseł takich jak Hydra czy Brutus wspomniane wyżej przykłady to wręcz zaproszenie do przejęcia kontroli nad serwisem.
wydrukuj
Komentarze
Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
- Liczba zatwierdzonych komentarzy (4) |
- dodaj komentarz |
- zobacz wszystkie
gawel
- ocena: 1
- IP: 87.205.250.28
- 18-06-2008, 00:28
Hałtura,
Zero
Wykożystanie
Zaraz,
hejka
- ocena: 5
- IP: 81.129.88.189
- 01-07-2008, 00:51
Bardzo
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2010 IDG Poland SA
