Проблемы в безопасности сайтов и приложений: проверьте себя

На склад или в офис предприниматели подключают охранную сигнализацию, ставят решетки на окнах, запускают дерзких доберманов во двор. Однако про другие вопросы безопасности забывают. Хотя замороженный бизнес из-за взломанного сайта или приложения может нести миллионные убытки. Статья для собственников малого бизнеса, у которых нет IT-отдела.

Проблемы в безопасности сайтов и приложений: проверьте себя

Наша специализация - высоконагруженные порталы, интернет-магазины, мобильные приложения и интеграции по API. Мы - это ITFactory, веб-продакшн.

Опишу 6 факторов, которые могут быть тревожными сигналами для вашего бизнеса. И что с этим делать.

Вы используете Open Source библиотеки

Проблема:

Айтишники включаются в противостояние государств, используя свои инструменты.

Или вы можете не очень внимательно прочитать условия использования – и попасть под судебные иски.

Примеры:

Вредоносное ПО может безвозвратно зашифровать всю файловую систему сайтов и приложений.

В 33% российского ПО на базе OpenSource есть критические уязвимости.

Бывают различные виды лицензий на использование Open Source, и с этим могут возникнуть проблемы.

Решение:

  • Аккуратно обновлять библиотеки из открытых источников. Кроме того, тестировать обновления в виртуальных средах перед развертыванием на продакшене.
  • Внимательно читать лицензионные соглашения и следить за их изменением.

Вы используете необновленный Bitrix

Проблема:

Если не обновлять вовремя CMS, то можно не только сайт потерять. Возможны и хуже варианты: код на сайте определяет переход из контекстной рекламы и подменяет ваш сайт на сайт конкурента.

Примеры:

29 июня компания “1С-Битрикс” обнародовала заявление, в котором они объяснили, что в системе отсутствуют критичные уязвимости, и взломать сайты на последней версии Битрикс не представляется возможным. Хакеры использовали уязвимость модуля “vote”, обнаруженную еще в марте. Но не все пользователи обновили свои системы.

Решение:

  • Покупать подписку на обновления и стимулировать разработчиков следить за особо важными обновлениями.

Вы используете однофакторную авторизацию

Проблема:

Сайты и приложения сейчас используют множество сервисов и API. Но доступ только по паролю – самая слабая из возможных защит (слабее только доступ без пароля).

Примеры:

81% вторжений хакеров связаны со слабыми или украденными паролями пользователей.Хакеры применяют различные автоматизированные средства по подбору паролей. Это Брут-форс - атака, направленная на перебор возможных вариантов паролей до тех пор, пока не будет найден правильный вариант.

Если хранилище веб-сайтов недостаточно безопасно, все пароли во всей базе данных могут быть взломаны сразу, если злоумышленнику удастся проникнуть в систему.

Решение:

  • Большинство сервисов сейчас позволяют настраивать многофакторную авторизацию. Не пренебрегайте этим.
  • Не используйте одинаковые учетные данные для разных сервисов.

Вы не запрашиваете доступы у разработчиков

Проблема:

В Google Play Market есть секретные ключи для разработчиков приложения. Они используются для начальной публикации и для выкатки обновлений. Если ключи утеряны – можно попрощаться с развитием приложения, какие-либо обновления для него будут невозможны.

Примеры:

Вот человек задает вопрос, как восстановить ключи. Ответ – никак. На самом деле можно попробовать через поддержку, но получается не у всех.

Бывают и ситуации, когда все авторизационные данные потеряны.

Решение:

  • Эти ключи надо запросить у разработчиков, если вы заказываете аутсорс-разработку, и хранить у себя.

Вы не интересуетесь, как разработчики хранят пароли

Проблема:

Разработчикам проще сделать быстрее, чем безопаснее. Поэтому ключи и пароли могут храниться как угодно и где угодно: например, ленивый программист может настроить авторизацию в админку Bitrix без пароля.

Пример работы ленивого программиста
Пример работы ленивого программиста

Примеры:

Эксперты Positive Technologies обнаружили проблемы с хранением данных в 20 парах приложений для iOS и Android — в основном банковских. Самая популярная уязвимость мобильных приложений — хранение пользовательских данных в открытом или плохо зашифрованном виде, отмечают исследователи

Решение:

  • Ключи должны храниться в безопасном менеджере паролей. Полезно также иметь доступы разных уровней (от админа до пользователя), чтобы разграничивать права доступа.

Вы не используете HTTPS для сайтов

Проблема:

Браузер Google Chrome уже больше года предупреждает, что не стоит переходить на сайт без https-шифрования. Сайты будут терять трафик – и это помимо некоторых проблем с безопасностью.

Примеры:

В режиме HTTPS-Only Mode в Firefox браузер заставляет все соединения с веб-сайтами использовать HTTPS.

Google тоже добавили в веб-браузер Chrome режим только для HTTPS, чтобы защитить веб-трафик пользователей от перехвата путем обновления всех подключений до HTTPS.

Решение:

  • Скорее всего, для вашего домена и хостинга можно просто включить это шифрование.

Резюме

Предупрежден – значит вооружен.

Безопасность сайтов и приложений для многих это как бэкапы: после первой потери данных бэкапами занимаются вдумчиво и регулярно.

Занесите эту статью в закладки и вернитесь к ней, когда будет возможность, и проверьте у себя эти проблемы.

О чем еще мы пишем:

1010
5 комментариев

«Скорее всего, для вашего домена и хостинга можно просто включить это шифрование» — не скорее всего, а точно! Сейчас можно спокойно подключить бесплатный SSL-сертификат, по которому сайт будет доступен по https. Иногда его могут подключить даже автоматически.

А, вообще, хорошая статья! :)

Это да, вы правы. Но не все хостинги это организуют быстро и просто

1

А ещё нужно установить антивирус и не переходить по левым ссылкам…

Статья нацелена на безопасность не для пк конкретно, а для проекта