Ochrona

Witam ponownie, dziś miało być dalej o kolejnych krokach pisania własnej aplikacji = strony www, ale zmieniłem zdanie. Do ostatniego tematu pasuje mi bardzo ważna rzecz, której nikt nie powinien pomijać! Absolutnie nikt! Chodzi mi o bezpieczeństwo!!!

Otóż, wyobraź sobie taką sytuację: stworzyłeś/aś po prostu nieziemską stronę! Odwiedzający "walą drzwiami i oknami", a i zyski zaczęły przewyższać wydatki! Czy może być lepiej? Pewnie! Ale w tym czasie, gdy Ty popadasz już w samozachwyt, ktoś o mało ciekawych zamiarach już dobiera się do Ciebie i Twojego dzieła - haker.

W miarę powiedzmy, że nic się nie stało jeśli chciał Ci jedynie uświadomić słabości i dziury w Twoim "systemie" tworzonej strony.
W tym gorszym przypadku sprawa wygląda tak: Odwiedziny spadają, dochód spada. Dopiero po pewnym czasie dochodzisz do tego co jest grane. No tak, ktoś pozbawił Twoją stronę funkcjonalności.
Najgorzej, jeżeli całkowicie przejął nad nią panowanie....

UWAGA: Strata zaufania klienta (odwiedzającego) jest tragedią w przypadku
świata" internetu. Pomyśl ile razy zrezygnowałeś/aś z wejścia na jakąś stronę, ponieważ zraziły Cię jakieś "dziwa" wypisane przez hakera. Ja sam podczas pisania tego artykułu przypominam sobie kilka świetnych stron na które już nie zaglądam, bo ktoś nie zadbał o ich bezpieczeństwo....

Masz rację, to właściwy moment na pytanie: "To co robić?!". Otóż odpowaiadam:

1. Bezpieczne hasło: bezpieczne hasło to taki, które zawiera minimum moim zdaniem 8 znaków różnorodnych i nie jest logicznym ciągiem. Logiczny ciąg znaków łatwo odgadnąć przestępcy, a być może wpadnie na nie przez przypadek. Dlaczego od 8 znaków? Ponieważ liczba możliwych kombinacji jest tak ogromna, że teoretyczne wypróbowanie ich wszystkich zajmuje ponad kilkanaście lat! Bezpieczeństwo hasła zwiększasz, przez kombinację znaków różnorodnych, czyli włączasz w kombinację: duże i małe litery, znaki specjalne (np: znaki małpy, kropek, dolara itp), oraz cyfry. Uwierz mi! Bezpieczne hasło to połowa sukcesu.
2. Nie przechowuj na serwerze plików, które w jakikolwiek sposób mogły by dać podstawy pojęcia jak wygląda struktura wewnętrzna plików, bazy czy folderów. Wszystkie pliki instalacyjne usuń na koniec z serwera. Bardzo dobrym pomysłem jest przechowywanie plików, które zawierają dane formularzy logujących poza katalogiem głównym. Czyli niejako wyżej niż domyślne public_html.
3. Zadbaj o filtrowanie danych przychodzących. Najlepszym sposobem jest filtrowanie wszystkiego w co może ingerować użytkownik witryny. Najprostsza funkcja języka php: strip_tags() pozwoli Ci wykluczyć z szeregu zagrożeń wszystkich "domorosłych" hakerów.
4. Polityka bezpieczeństwa - sprzęt: Zadbaj o właściwą ochronę komputera/komputerów na których masz pliki ze swoją stroną! Zainstaluj antyvirusa, firewall'a oraz jakieś narzędzie przeciw szpiegowskim programom. Dzięki temu unikniesz sytuacji, w której ktoś pozna Twoje nawet bardzo bezpieczne hasło! Korzystaj tylko z zaufanego sprzętu! Nie widzę sytuacji,gdy ktoś przechowuje pliki swojej "kury znoszącej złote jajka" na komputerze osiedlowej kawiarenki internetowej!!! To jest wręcz absurdalne!
5. Polityka bezpieczeństwa - ludzie: Hasło udostępnij tylko osobom, którym jest ono niezbędne, czyli de facto współpracownikom, bo komu jeszcze mogło by się przydać?;) Nie mniej staraj się tworzyć dodatkowe konto (klienta MySQL, FTP itd.) z uprawnieniami odpowiednimi dla danej grupy pracowników.  To uchroni Cię w jakiś sposób przed zawiścią ze strony, być może zazdrosnego, pracownika. Teraz będzie brutalnie, ale musi: W życiu zdarzają się wypadki i Ty musisz zadbać o to, aby w chwili gdy coś Ci się stanie, ktoś mógł kontynuować Twoje dzieło. Przecież tyle pracy nie pójdzie na marne! Zadbaj więc, aby w nagłym wypadku, ktokolwiek odpowiedzialny miał dostęp do wszystkiego co robiłeś (w tym także dokumentacji!!!).
6. Ogólne zasady: Staraj się co jakiś czas zmieniać swoje hasło. Nawet gdy ktoś w jakiś sposób Cię okradnie z niego, po jakimś czasie stanie się one bezwartościowe dla niego! Nigdy nie daj się nabierać na teksty typu: "po co zakrywasz klawiaturę, skoro i tak mi się Twoje hasło nie przyda?!". Ale hasło i dane formularza są Twoje i one chronią Twoje wiele godzin, dni i lat pracy. Wydaje mi się to argumentem niepodważalnym, aby jednak te klawisze zasłaniać!
7. No i chyba nie muszę, ale wspomnę, o otwieraniu witryn, plików i poczty elektronicznej wątpliwej treści i pochodzenia? Dla pewności dam Ci radę: nie rób tego ;) Jeżeli ktoś ma CI coś ważnego do zakomunikowania, znajdzie sposób abyś dostał jego korespondencję!

Pracuj i planuj w pocie czoła, a unikniesz kilku problemów na przyszłość. Już teraz (na początku pracy) pomyśl nad podstawowymi aspektami bezpieczeństwa! W szeregu działań pozycjonujących, optymalizujących, marketingowych i rozwijających Twoją witrynę WWW, pamiętaj aby zająć się bezpieczeństwem, o którym dużo osób zapomina!!