Αναβάθμιση Ασφάλειας Aggelopoulos.net από 22-10-2011
Θα θέλαμε να σας ενημερώσουμε για τα νέα επίπεδα ασφαλείας που υπάρχουν στο site μας Aggelopoulos ώστε να αποφεύγονται επιθέσεις από μη εξουσιοδοτημένους χρήστες του συστήματος. Οι έλεγχοι που διενεργούνται πλέον σε επίπεδο ασφαλείας είναι οι ακόλουθοι:
Εισαγωγή κώδικα SQL
H εισαγωγή κώδικα SQL είναι μια εξαιρετικά επιζήμια επίθεση κατά την οποία επιχειρείτε η πρόσβαση σε πληροφορίες που αποθηκεύονται στη βάση δεδομένων, όπως τα δεδομένα των πελατών ή τον κωδικό χρήστη και τους κωδικούς πρόσβασης. SQL σημαίνει Structured Query Language και είναι η γλώσσα προγραμματισμού κατανοητή από βάσεις δεδομένων. Με την προσθήκη εντολών από αυτή τη γλώσσα προγραμματισμού, μπορεί να αποκτηθεί πρόσβαση στα αρχεία βάσεων δεδομένων σε ευπαθείς τόπους, κλοπή στοιχείων πιστωτικών καρτών, κωδικούς πρόσβασης, διευθύνσεις ηλεκτρονικού ταχυδρομείου και τυχόν πρόσθετα στοιχεία που είναι διαθέσιμα στη βάση δεδομένων.
Ποιες είναι οι επιπτώσεις: Οι επιπτώσεις αυτού του τύπου της επίθεσης μπορεί να είναι καταστροφικές. Μπορεί επίσης να καταστρέψει την φήμη της επιχείρησης, εκθέτοντας τα προσωπικά δεδομένα των αναγνωστών σε εγκληματίες.
Πώς προστατεύεστε: Διενεργούνται έλεγχοι σε κάθε πλαίσιο εισαγωγής στις ιστοσελίδες μας για να βεβαιωθούμε ότι δεν είναι ευάλωτα σε αυτόν τον τύπο επίθεσης. Χρησιμοποιούνται ασφαλείς διαδικασίες δοκιμής και αν ανακαλυφθεί μια ευπάθεια στις δοκιμές μας ενημερωνόμαστε αυτόματα.
- Cross-Site Scripting (XSS)
Το Cross-Site Scripting, ή XSS, είναι το είδος της επίθεσης που χρησιμοποιείται για να ελέγχετε το περιεχόμενο των ιστοσελίδων . Μπορεί να εισαχθεί ένα κομμάτι κώδικα στην ιστοσελίδα , συνήθως μέσα από ένα πεδίο εισαγωγής, όπως ένα πλαίσιο αναζήτησης, κωδικός ταυτότητας χρήστη, ή το Όνομα / Διεύθυνση κουτί. Εάν οι ιστοσελίδες είναι ευάλωτες σε αυτόν τον τύπο επίθεσης, κάποιος τρίτος μπορεί να ελέγξει το περιεχόμενο των σελίδων, συμπεριλαμβανομένων των cookies του χρήστη ή διάφορες μεταβλητές.
Ποιες είναι οι επιπτώσεις: Χρησιμοποιείτε αυτός ο τύπος επίθεσης για να ξεγελαστούν οι επισκέπτες σε παροχή δεδομένων προσωπικού χαρακτήρα. Δεδομένου ότι οι επισκέπτες θεωρούν ότι παρέχονται οι σχετικές πληροφορίες στο site , είναι πιθανό να παρέχουν ευαίσθητες πληροφορίες σε τρίτους, δεδομένου ότι εμπιστεύονται την επιχείρησή σας. Στην συνέχεια χρησιμοποιούν πληροφορίες που συλλέγονται, όπως ονόματα χρηστών, κωδικούς πρόσβασης, στοιχεία πιστωτικών καρτών, κ.λπ., για να πραγματοποιήσουν την κλοπή ταυτότητας και άλλες εγκληματικές δραστηριότητες.
Πώς προστατεύεστε: Διενεργούνται έλεγχοι για να βεβαιωθούμε ότι δεν είναι ευάλωτες οι ιστοσελίδες σε αυτόν τον τύπο επίθεσης.
- Παρακολούθηση φήμης
Η παρακολούθηση φήμης βεβαιώνει ότι οι ιστοσελίδες και οι επικοινωνίες μας φθάνουν τους επισκέπτες μας όπως προβλέπεται με δύο βασικούς τρόπους:
1) παρακολούθηση μαύρης λίστας: Παρακολουθούμε τις μηχανές αναζήτησης και τους καταλόγους των τόπων που αναφέρονται ότι έχουν κακόβουλο λογισμικό για να βεβαιωθούμε ότι οι επισκέπτες του site μας δεν λαμβάνουν προειδοποίηση ότι εισέρχονται σε ιστοσελίδα με κακόβουλο λογισμικό.
2) E-mail μαύρη λίστα παρακολούθησης: Συγκρίνουμε την διεύθυνση e-mail, το όνομα τομέα, και τον e-mail server μας με τους καταλόγους ιδιοκτησίας που χρησιμοποιούνται από δημοφιλή προγράμματα ηλεκτρονικού ταχυδρομείου για να εντοπίσει τα μηνύματα που χαρακτηρίζουν ως “Ανεπιθύμητα”. Αυτό εξασφαλίζει ότι το e-mail μας, φτάνουν στους αναγνώστες μας και μετακινούνται στον φάκελο ΕΙΣΕΡΧΟΜΕΝΑ αντί του Φακέλου ΑΝΕΠΙΘΥΜΗΤΑ.
Ποιες είναι οι επιπτώσεις: Μπορεί να οδηγήσει σε απώλεια πελατών, εγκατάλειψη της επίσκεψης των ιστοσελίδων μας και δημιουργία κακής φήμης.
Για να είστε σίγουροι ότι το site μας έχει περάσει όλους τους ελέγχους μπορείτε να πατήσετε το εικονίδιο
που βρίσκετε στο τέλος της κάθε ιστοσελίδας. Από εκεί θα δρομολογηθείτε σε ασφαλή τοποθεσία που θα σας εμφανίζει τις ημερομηνίες τελευταίου ελέγχου.
Μπορείτε να μείνετε ενημερωμένοι για τα νέα μας μέσω ειδήσεων RSS 2.0 που θα βρείτε ΕΔΩ!