reklama

Strefa IBM System x

"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

popularne komentowane nowości

popularne

Najczęściej czytane

Ukryta wiadomość w logo jednostki do walki z cyberterroryzmem (czytane 5185 razy)
Nowe narzędzia do łamania GSM (czytane 3608 razy)
CRASH - system odpornościowy dla sieci (czytane 3560 razy)
Jeden z deweloperów włamał się do App Store i iTunes (czytane 3508 razy)
Przynęty na hakerów (czytane 3308 razy)

więcej...

Biblioteka Wiedzy poleca

Dynamiczna kostka: moc wirtualizacji w olsztyńskim RCI

Niższe rachunki za energię, wysoka wydajność i zwiększona dostępność systemu - to korzyści w obszarze IT jakie Uniwersytet Warmińsko Mazurski uzyskał...
pobierz »

Raport o internetowych zagrożeniach bezpieczeństwa

"Internet Security Threat Report" - kolejna edycja znanego raportu firmy Symantec zawierającego globalny przegląd stanu bezpieczeństwa w Internecie....
pobierz »

Implementing IBM Systems Director 6.1

Poznaj możliwości noweczesnego systemu zarządzającego całą infrastrukturą IT. IBM Systems Director 6.1. jest jedynym na rynku bezpłatnym systemem o...
pobierz »

Więcej bezpłatnych raportów w serwisie

powiększ tekst

AKTUALNOŚCI

Drupal na celowniku - jak zbudować bezpieczny CMS

10 maja 2008

Paweł Krawczyk

(Strona 3 z 4)

Moduł Password Strength (password_strength) pozwala częściowo rozwiązać ten problem - w formularzu, gdzie użytkownik wpisuje nowe hasło instaluje dodatkowy kod JavaScript, weryfikujący zgodność hasła z określoną liczbą wymagań co do jego zawartości oraz długości. Moduł może również sprawdzać to po stronie serwera. Do wyeliminowania haseł absolutnie trywialnych wystarczy ustawienie minimalnej długości hasła na 8 i poziomu na "Medium". Trzeba pamiętać, że zbyt wysokie wymagania - np. stosowania znaków specjalnych - daje w praktyce rezultat odwrotny od zamierzonego, bo użytkownicy zaczynają regularnie zapominać hasła lub kombinować np. z zapisywaniem ich na kartkach. Lepiej na etapie zakładania konta poinformować ich o istnieniu wygodnych narzędzi takich jak PwdHash, które pozwalają na bezpieczną obsługę haseł w wielu serwisach bez obciążania pamięci.

Pewną słabością Drupala jest standardowy mechanizm zapisywania haseł użytkowników w bazie danych za pomocą stosunkowo prostego skrótu opartego o algorytm MD5. Jest to problem w ogóle nie dotyczący użytkownika serwisu, może natomiast nieco uprościć łamanie haseł użytkowników w przypadku gdyby komuś udało się wykraść zawartość bazy SQL przy pomocy jakiejś nowo odkrytej dziury.

Problem ten można rozwiązać instalując moduł Secure Password Hashes (phpass), który włącza haszowanie haseł za pomocą o wiele silniejszego skrótu opartego o szyfr Blowfish. Po jego zainstalowaniu wszystkie nowo ustawiane hasła będą skracane silnym algorytmem, warto więc zainstalować go już przy uruchamianiu serwisu. Jeśli instalujemy go później to należy po instalacji zmienić przynajmniej hasła redaktorów i administratorów. (Więcej o bezpieczeństwie haseł pisaliśmy w artykule "Ochrona i łamanie haseł w aplikacjach").

Baza danych

Bezpieczeństwo serwisu to także jego dostępność. W przypadku aplikacji korzystającej intensywnie z bazy danych, a do takich należy Drupal, konieczne jest regularne jej czyszczenie i optymalizacja. W przeciwnym razie baza będzie zajmować coraz więcej miejsca i działać coraz wolniej - wraz ze wzrostem liczby treści w serwisie problem ten będzie narastał. Automatyczne porządkowanie bazy danych zapewnia moduł DB Maintenance (db_maintenance). Jest on w zasadzie bezobsługowy - uruchamia się wraz z każdym uruchomieniem crona (programu do automatyzacji określonych zadań). Jego działanie zapewni cykliczną optymalizację bazy danych, co jest zwłaszcza istotne dla tablic zawierających dane tymczasowe generowane dynamicznie (cache).
Poza optymalizacją bazy należy także dbać o regularne tworzenie kopii zapasowych. Funkcję tę realizuje moduł Backup and Migrate (backup_migrate). Umożliwia on zarówno stworzenie jednorazowego zrzutu całej bazy (backup ręczny) lub generowanie go cyklicznie co ustalony interwał czasowy - codziennie, co tydzień itd. Ta ostatnia funkcja jest również uzależniona od poprawnego działania crona.

Kopie zapasowe tworzone są na serwerze. Nie należy łudzić się, że awarie dysków w serwisach hostingowych się nie zdarzają - dlatego archiwa zawierające zrzuty bazy należy cyklicznie kopiować na przykład na komputer w domu lub firmie. W każdym przypadku warto włączyć kompresję tak tworzonych plików, co robi się z poziomu menu modułu Backup and Migrate.

« wstecz 1 2 34 dalej »

Wystaw ocenę:

Średnia ocena (liczba głosów: 7)

wydrukuj

wyślij do znajomego

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

Liczba zatwierdzonych komentarzy (4) |
dodaj komentarz |
zobacz wszystkie

gawel

ocena: 1
IP: 87.205.250.28
18-06-2008, 00:28

Hałtura, Panie, hałtura.
Zero konkretów, kilka odwołań do niestandartowych modułów bez pogłębienia wiedzy o nich.
Wykożystanie Drupala w Polsce jest wprostproporcjonalne do wiedzy o nim.
Zaraz, ale tam były linki do prac tego autora - więc może to jest po prostu SPAM?

hejka

ocena: 5
IP: 81.129.88.189
01-07-2008, 00:51

Bardzo dobry artykuł i z pewnością pogłębił moją wiedzę na temat utrzymywania drupala i stron opartych na nim w dobrej kondycji.

Regulamin i polityka prywatności
Kontakt