Najczęściej popełniane pomyłki to

Instalowanie w komputerze operacyjnym narzędzi lub serwerów WWW, które nie są jeszcze w pełni dopracowane, bez usunięcia przykładowych programów albo innych mechanizmów wspomagających ich pisanie. Są to często narzędzia diagnostyczne lub testujące koncepcję programu, które zapewniają bardzo szeroki dostęp.

Uruchamianie zewnętrznych programów ze zbyt wieloma przywilejami przez użycie nadmiernie uprzywilejowanego konta (na przykład roota w Uniksie) albo przez użycie tego samego konta do uruchamiania wielu różnych programów bądź też przez użycie konta domyślnego, które ma dostęp do całego systemu plików z przywilejami użytkownika (takie konta mają często znane nazwy i hasła).

Ujmując rzecz bardziej obrazowo, ludzie są zbyt ufni: instalują kombinację komercyjnych i bezpłatnych programów i skryptów, nie zastanawiając się nad ich wpływem na poziom bezpieczeństwa. Bez odpowiedniego przeszkolenia tylko nieliczni programiści umieją pisać bezpieczne programy, a wszystkie programy uruchamiane przez serwer WWW muszą być bezpieczne. Żaden zewnętrzny producent nie jest tak wielki i nieomylny, abyś mógł zainstalować jego oprogramowanie bezpośrednio w serwerze operacyjnym i mieć pewność, że jesteś bezpieczny. Żaden dodatek do serwera WWW nie jest tak nieskomplikowany, żebyś mógł pozwolić na napisanie go początkującemu programiście i nie martwić się o bezpieczeństwo.

Musisz traktować każdy dodatek do serwera WWW jako nowy serwer internetowy odpowiednio oszacować jego bezpieczeństwo. Musisz także konserwować wszystkie takie programy, śledząc nowo wykryte zagrożenia i wprowadzając odpowiednie modyfikacje. Pozwolenie ludziom, którzy nie są świadomi zagrożeń, na umieszczanie programów wykonywalnych w twoim serwerze WWW, to najprostszy przepis na katastrofę.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>