Безопасность сайта

Клиенты часто относятся к безопасности сайта равнодушно, за что жестоко расплачиваются потерей своего сайта в Интернете. Нет идеальной брони от снаряда, нет идеального дверного замка от взлома, нет идеальной автомобильной сигнализации, которую бы не вскрыли. Это аналогии, идеального сайта способного выдержать взлом в природе не существует. Создание сайтов, у которых будет множество конкурентов, требует соблюдения безопасности в разработке программного обеспечения функционала сайта.

Цитата с хакерского форума одного профи:
«Покажите мне любую CMS, а я найду вам хакера, который ее положит».

Клиенты спрашивают:
«Вы же делаете наш сайт безопасным, за это мы и платим деньги».

Корпоративный сайт сделанный у нас - трудно взломать. Клиенты сами виноваты в потере корпоративных сайтов. Если мы отдаем вам пароли от администраторской части, от хостинга, от FTP. Все пароли хранятся у вас, а если пароли от сайта стали известны третьим лицам и они взломали сайт, то разве это вина студии, которая занималась созданием сайта?

Основные способы кражи паролей от корпоративного сайта можно поделить на два способа. Посмотрите на рабочие места своих сотрудников. Интересует вопрос, как они проверяют электронную почту:

1. В большинстве случаев пароль и логин написаны на листочке, а листочек приклеен к монитору компьютера или к рамке фотографии. Не важно где наклеен листочек, но он на рабочем столе есть.

2. Если листочка нет, то сотрудник заходит на сервис почты или другие сервисы Интернета, сохраняя пароли в куках браузера. Заходя на тот или иной сервис, сервис автоматически узнает пользователя и впускает в аккаунт.

В первом случае в офис придет курьер, который принесет девушке цветы, коробку конфет и открытку от незнакомца. Далее - дело техники: подсмотреть пароль с листочка и ретироваться, времени рассмотреть рабочий стол будет много. Девушка будет открывать конверт с открыткой, расспрашивать от кого подарок, может быть даже предложит выпить чашку чая. С чаем можно вообще в компьютер успеть загрузить файл с вирусом. Способов подсмотреть пароли или напрямую загрузить модуль-шпион в компьютер существует много.

Во втором случае нужно выкачать из браузера данные. Достаточно всего лишь троянской программы и пары секунд. Например, пришло письмо, вы его открыли и перешли по интересной ссылке на другой ресурс. Все дело сделано. Может спасти профессиональный коммерческий антивирус, но не факт, что он сразу распознает подвох троянской программы, если троян модифицированный и не значится в базе антивируса.

Безопасность сайта требует соблюдения строгих правил:
Иметь надежный антивирус.
Не хранить пароли на компьютере.
Не сохранять пароли в куках.
Не посещать сомнительных ресурсов, если вас просят это сделать.
Не скачивать неизвестных файлов из Интернета на компьютер.
Не вставлять в компьютер чужих съемных носителей информации.