Проблемы в безопасности сайтов и приложений: проверьте себя
На склад или в офис предприниматели подключают охранную сигнализацию, ставят решетки на окнах, запускают дерзких доберманов во двор. Однако про другие вопросы безопасности забывают. Хотя замороженный бизнес из-за взломанного сайта или приложения может нести миллионные убытки. Статья для собственников малого бизнеса, у которых нет IT-отдела.
Наша специализация - высоконагруженные порталы, интернет-магазины, мобильные приложения и интеграции по API. Мы - это ITFactory, веб-продакшн.
Опишу 6 факторов, которые могут быть тревожными сигналами для вашего бизнеса. И что с этим делать.
Вы используете Open Source библиотеки
Проблема:
Айтишники включаются в противостояние государств, используя свои инструменты.
Или вы можете не очень внимательно прочитать условия использования – и попасть под судебные иски.
Примеры:
Вредоносное ПО может безвозвратно зашифровать всю файловую систему сайтов и приложений.
В 33% российского ПО на базе OpenSource есть критические уязвимости.
Бывают различные виды лицензий на использование Open Source, и с этим могут возникнуть проблемы.
Решение:
- Аккуратно обновлять библиотеки из открытых источников. Кроме того, тестировать обновления в виртуальных средах перед развертыванием на продакшене.
- Внимательно читать лицензионные соглашения и следить за их изменением.
Вы используете необновленный Bitrix
Проблема:
Если не обновлять вовремя CMS, то можно не только сайт потерять. Возможны и хуже варианты: код на сайте определяет переход из контекстной рекламы и подменяет ваш сайт на сайт конкурента.
Примеры:
29 июня компания “1С-Битрикс” обнародовала заявление, в котором они объяснили, что в системе отсутствуют критичные уязвимости, и взломать сайты на последней версии Битрикс не представляется возможным. Хакеры использовали уязвимость модуля “vote”, обнаруженную еще в марте. Но не все пользователи обновили свои системы.
Решение:
- Покупать подписку на обновления и стимулировать разработчиков следить за особо важными обновлениями.
Вы используете однофакторную авторизацию
Проблема:
Сайты и приложения сейчас используют множество сервисов и API. Но доступ только по паролю – самая слабая из возможных защит (слабее только доступ без пароля).
Примеры:
81% вторжений хакеров связаны со слабыми или украденными паролями пользователей.Хакеры применяют различные автоматизированные средства по подбору паролей. Это Брут-форс - атака, направленная на перебор возможных вариантов паролей до тех пор, пока не будет найден правильный вариант.
Если хранилище веб-сайтов недостаточно безопасно, все пароли во всей базе данных могут быть взломаны сразу, если злоумышленнику удастся проникнуть в систему.
Решение:
- Большинство сервисов сейчас позволяют настраивать многофакторную авторизацию. Не пренебрегайте этим.
- Не используйте одинаковые учетные данные для разных сервисов.
Вы не запрашиваете доступы у разработчиков
Проблема:
В Google Play Market есть секретные ключи для разработчиков приложения. Они используются для начальной публикации и для выкатки обновлений. Если ключи утеряны – можно попрощаться с развитием приложения, какие-либо обновления для него будут невозможны.
Примеры:
Вот человек задает вопрос, как восстановить ключи. Ответ – никак. На самом деле можно попробовать через поддержку, но получается не у всех.
Бывают и ситуации, когда все авторизационные данные потеряны.
Решение:
- Эти ключи надо запросить у разработчиков, если вы заказываете аутсорс-разработку, и хранить у себя.
Вы не интересуетесь, как разработчики хранят пароли
Проблема:
Разработчикам проще сделать быстрее, чем безопаснее. Поэтому ключи и пароли могут храниться как угодно и где угодно: например, ленивый программист может настроить авторизацию в админку Bitrix без пароля.
Примеры:
Эксперты Positive Technologies обнаружили проблемы с хранением данных в 20 парах приложений для iOS и Android — в основном банковских. Самая популярная уязвимость мобильных приложений — хранение пользовательских данных в открытом или плохо зашифрованном виде, отмечают исследователи
Решение:
- Ключи должны храниться в безопасном менеджере паролей. Полезно также иметь доступы разных уровней (от админа до пользователя), чтобы разграничивать права доступа.
Вы не используете HTTPS для сайтов
Проблема:
Браузер Google Chrome уже больше года предупреждает, что не стоит переходить на сайт без https-шифрования. Сайты будут терять трафик – и это помимо некоторых проблем с безопасностью.
Примеры:
В режиме HTTPS-Only Mode в Firefox браузер заставляет все соединения с веб-сайтами использовать HTTPS.
Google тоже добавили в веб-браузер Chrome режим только для HTTPS, чтобы защитить веб-трафик пользователей от перехвата путем обновления всех подключений до HTTPS.
Решение:
- Скорее всего, для вашего домена и хостинга можно просто включить это шифрование.
Резюме
Предупрежден – значит вооружен.
Безопасность сайтов и приложений для многих это как бэкапы: после первой потери данных бэкапами занимаются вдумчиво и регулярно.
Занесите эту статью в закладки и вернитесь к ней, когда будет возможность, и проверьте у себя эти проблемы.
О чем еще мы пишем:
«Скорее всего, для вашего домена и хостинга можно просто включить это шифрование» — не скорее всего, а точно! Сейчас можно спокойно подключить бесплатный SSL-сертификат, по которому сайт будет доступен по https. Иногда его могут подключить даже автоматически.
А, вообще, хорошая статья! :)
Это да, вы правы. Но не все хостинги это организуют быстро и просто
А ещё нужно установить антивирус и не переходить по левым ссылкам…
Статья нацелена на безопасность не для пк конкретно, а для проекта