reklama
popularne
Najczęściej czytane
- Dziś Dzień Bezpiecznego Internetu 2010. Rusza kampania "Think B4 U post!" (czytane 4176 razy)
- Trojan DatCrypt - zaszyfruje ci pliki, a za odblokowanie słono zapłacisz (czytane 3912 razy)
- Flash i luki w witrynach - główne tematy Black Hat Washington (czytane 3546 razy)
- Microsoft: za "niebieski ekran śmierci" odpowiada rootkit (czytane 2265 razy)
- USA: szkoła podglądała ucznia w domu za pomocą laptopa (czytane 2265 razy)
Biblioteka Wiedzy poleca
Nowa, inteligentna moc w serwerach
Nowe serwerowe procesory Intel oferują wiekszą szybkość, wydajność i inteligencje, adaptują się do potrzeb energetycznych
pobierz »
ERP dla średniej firmy: Od czego zacząć?
Wybór systemu ERP to jedna z najważniejszych decyzji podejmowanych przez przedsiębiorstwo. Dlatego powinny ją poprzedzić rzetelne przygotowania....
pobierz »
WatchGuard SSL 100: zdalny dostęp efektywnie i niedrogo
Szeroka gama aplikacji biznesowych isystemów, atakże coraz większe zróżnicowanie w lokalizacji i urządzeniach z których korzystają firmy spowodowała...
pobierz »
Drupal na celowniku - jak zbudować bezpieczny CMS
10 maja 2008
Paweł KrawczykPierwszą linią obrony jest moduł http:BL (httpbl), który blokuje wejścia na stronę z adresów IP wpisanych na czarną listę Project Honepot. Trafiają na nią roboty spammerskie wyłapane przez rozsiane po całym świecie sensory projektu. Zaletą korzystania z http:BL jest odciążenie serwisu z jałowego ruchu generowanego przez roboty indeksujące go w złych intencjach. Potencjalnym efektem ubocznym może być sporadyczne wyfiltrowanie legalnych użytkowników, jeśli weszli oni z dynamicznego adresu IP wcześniej należącego do spammera. Poza korzystaniem z usług Project Honeynet każdy administrator może również uruchomić taki sensor u siebie w postaci prostej strony WWW.
Więcej o tego typu czarnych listach pisaliśmy w artykule "Czarne listy nie tylko dla poczty". Dalsze metody walki ze spamem można podzielić na aktywne i profilaktyczne. Metody aktywne to przede wszystkim moderowanie komentarzy i nowych użytkowników, co może być pożądane nie tylko z punktu widzenia walki ze spamem. Moderowanie nowych treści ma jednak zasadniczą wadę - wymaga odpowiedniej liczby zaangażowanych w tą działalność osób. W przeciwnym razie publikacja komentarzy może się opóźniać, a serwis traci na dynamice wymiany opinii. Na szczęście Drupal oferuje szereg modułów pozwalajacych na automatyczne blokowanie spamu praktycznie ze stuprocentową skutecznością. Zalecana w takim przypadku polityka powinna polegać na dopuszczeniu automatycznej rejestracji użytkowników pod warunkiem poprawnej weryfikacji emailowej (zakładka User settings w sekcji User Administration) oraz - obowiązkowo - włączeniu mechanizmu CAPTCHA.
Mechanizm CAPTCHA - czyli obrazki, które musi rozszyfrować użytkownik by dowieść że nie jest botem - to bardzo skuteczna metoda eliminacji spammerów i botów. Równocześnie jednak postęp technologiczny w zakresie automatycznego zgadywania obrazków CAPTCHA powoduje, że standardowe mechanizmy oferowane przez moduł Captcha należy potraktować jako niewystarczające i nieskuteczne. Obrazki generowane przez te moduły, a tym bardziej równania arytmetyczne, są obecnie bez problemu łamane przez automaty spammerskie. Stosunkowo wysoką skutecznością wykazuje się natomiast moduł reCAPTCHA, działający w oparciu o słowa pobrane z literatury drukowanej, z którymi nie poradziły sobie programy OCR. Słowa te są najczęściej względnie czytelne dla człowieka (a na pewno bardziej niż niektóre pstrokate wizje standardowych CAPTCHA) i praktycznie niemożliwe do zgadnięcia do automatów. Moduł reCAPTCHA wymaga zainstalowania modułu CAPTCHA bo wykorzystuje niektóre jego funkcje. W serwisie należy jednak posługiwać się tylko funkcjami reCAPTCHA. Sama instalacja modułu reCAPTCHA wymaga dogrania do katalogu w którym jest zainstalowany oryginalnej biblioteki projektu reCAPTCHA - jest to dobrze opisane w dokumentacji i nie nastręcza żadnych problemów.
Bezpieczeństwo haseł
W swojej praktyce spotykałem się z poważnymi portalami, w których hasło głównego redaktora brzmiało na przykład "polityka" czy "marysia123", o hasłach użytkowników nie wspominając. Dla narzędzi do słownikowego łamania haseł takich jak Hydra czy Brutus wspomniane wyżej przykłady to wręcz zaproszenie do przejęcia kontroli nad serwisem.
Komentarze
Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
- Liczba zatwierdzonych komentarzy (4) |
- dodaj komentarz |
- zobacz wszystkie
gawel
- ocena: 1
- IP: 87.205.250.28
- 18-06-2008, 00:28
Hałtura,
Zero
Wykożystanie
Zaraz,
hejka
- ocena: 5
- IP: 81.129.88.189
- 01-07-2008, 00:51
Bardzo
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2010 IDG Poland SA




"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.




wydrukuj
