reklama

Strefa IBM System x

"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

popularne komentowane nowości

popularne

Najczęściej czytane

Dziś Dzień Bezpiecznego Internetu 2010. Rusza kampania "Think B4 U post!" (czytane 4176 razy)
Trojan DatCrypt - zaszyfruje ci pliki, a za odblokowanie słono zapłacisz (czytane 3912 razy)
Flash i luki w witrynach - główne tematy Black Hat Washington (czytane 3546 razy)
Microsoft: za "niebieski ekran śmierci" odpowiada rootkit (czytane 2265 razy)
USA: szkoła podglądała ucznia w domu za pomocą laptopa (czytane 2265 razy)

więcej...

Biblioteka Wiedzy poleca

Nowa, inteligentna moc w serwerach

Nowe serwerowe procesory Intel oferują wiekszą szybkość, wydajność i inteligencje, adaptują się do potrzeb energetycznych
pobierz »

ERP dla średniej firmy: Od czego zacząć?

Wybór systemu ERP to jedna z najważniejszych decyzji podejmowanych przez przedsiębiorstwo. Dlatego powinny ją poprzedzić rzetelne przygotowania....
pobierz »

WatchGuard SSL 100: zdalny dostęp efektywnie i niedrogo

Szeroka gama aplikacji biznesowych isystemów, atakże coraz większe zróżnicowanie w lokalizacji i urządzeniach z których korzystają firmy spowodowała...
pobierz »

Więcej bezpłatnych raportów w serwisie

powiększ tekst

AKTUALNOŚCI

Drupal na celowniku - jak zbudować bezpieczny CMS

10 maja 2008

Paweł Krawczyk

(Strona 3 z 4)

Moduł Password Strength (password_strength) pozwala częściowo rozwiązać ten problem - w formularzu, gdzie użytkownik wpisuje nowe hasło instaluje dodatkowy kod JavaScript, weryfikujący zgodność hasła z określoną liczbą wymagań co do jego zawartości oraz długości. Moduł może również sprawdzać to po stronie serwera. Do wyeliminowania haseł absolutnie trywialnych wystarczy ustawienie minimalnej długości hasła na 8 i poziomu na "Medium". Trzeba pamiętać, że zbyt wysokie wymagania - np. stosowania znaków specjalnych - daje w praktyce rezultat odwrotny od zamierzonego, bo użytkownicy zaczynają regularnie zapominać hasła lub kombinować np. z zapisywaniem ich na kartkach. Lepiej na etapie zakładania konta poinformować ich o istnieniu wygodnych narzędzi takich jak PwdHash, które pozwalają na bezpieczną obsługę haseł w wielu serwisach bez obciążania pamięci.

Pewną słabością Drupala jest standardowy mechanizm zapisywania haseł użytkowników w bazie danych za pomocą stosunkowo prostego skrótu opartego o algorytm MD5. Jest to problem w ogóle nie dotyczący użytkownika serwisu, może natomiast nieco uprościć łamanie haseł użytkowników w przypadku gdyby komuś udało się wykraść zawartość bazy SQL przy pomocy jakiejś nowo odkrytej dziury.

Problem ten można rozwiązać instalując moduł Secure Password Hashes (phpass), który włącza haszowanie haseł za pomocą o wiele silniejszego skrótu opartego o szyfr Blowfish. Po jego zainstalowaniu wszystkie nowo ustawiane hasła będą skracane silnym algorytmem, warto więc zainstalować go już przy uruchamianiu serwisu. Jeśli instalujemy go później to należy po instalacji zmienić przynajmniej hasła redaktorów i administratorów. (Więcej o bezpieczeństwie haseł pisaliśmy w artykule "Ochrona i łamanie haseł w aplikacjach").

Baza danych

Bezpieczeństwo serwisu to także jego dostępność. W przypadku aplikacji korzystającej intensywnie z bazy danych, a do takich należy Drupal, konieczne jest regularne jej czyszczenie i optymalizacja. W przeciwnym razie baza będzie zajmować coraz więcej miejsca i działać coraz wolniej - wraz ze wzrostem liczby treści w serwisie problem ten będzie narastał. Automatyczne porządkowanie bazy danych zapewnia moduł DB Maintenance (db_maintenance). Jest on w zasadzie bezobsługowy - uruchamia się wraz z każdym uruchomieniem crona (programu do automatyzacji określonych zadań). Jego działanie zapewni cykliczną optymalizację bazy danych, co jest zwłaszcza istotne dla tablic zawierających dane tymczasowe generowane dynamicznie (cache).
Poza optymalizacją bazy należy także dbać o regularne tworzenie kopii zapasowych. Funkcję tę realizuje moduł Backup and Migrate (backup_migrate). Umożliwia on zarówno stworzenie jednorazowego zrzutu całej bazy (backup ręczny) lub generowanie go cyklicznie co ustalony interwał czasowy - codziennie, co tydzień itd. Ta ostatnia funkcja jest również uzależniona od poprawnego działania crona.

Kopie zapasowe tworzone są na serwerze. Nie należy łudzić się, że awarie dysków w serwisach hostingowych się nie zdarzają - dlatego archiwa zawierające zrzuty bazy należy cyklicznie kopiować na przykład na komputer w domu lub firmie. W każdym przypadku warto włączyć kompresję tak tworzonych plików, co robi się z poziomu menu modułu Backup and Migrate.

« wstecz 1 2 34 dalej »

Wystaw ocenę:

Średnia ocena (liczba głosów: 7)

wydrukuj

wyślij do znajomego

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

Liczba zatwierdzonych komentarzy (4) |
dodaj komentarz |
zobacz wszystkie

gawel

ocena: 1
IP: 87.205.250.28
18-06-2008, 00:28

Hałtura, Panie, hałtura.
Zero konkretów, kilka odwołań do niestandartowych modułów bez pogłębienia wiedzy o nich.
Wykożystanie Drupala w Polsce jest wprostproporcjonalne do wiedzy o nim.
Zaraz, ale tam były linki do prac tego autora - więc może to jest po prostu SPAM?

hejka

ocena: 5
IP: 81.129.88.189
01-07-2008, 00:51

Bardzo dobry artykuł i z pewnością pogłębił moją wiedzę na temat utrzymywania drupala i stron opartych na nim w dobrej kondycji.

Regulamin i polityka prywatności
Kontakt