Serwery www a bezpieczeństwo – ciąg dalszy

Taka sytuacja to koszmar senny eksperta od bezpieczeństwa. Każdy program zewnętrzny faktycznie staje się serwerem internetowym, z wszystkimi zwykłymi implikacjami dla bezpieczeństwa. Jeśli którykolwiek z nich ma problemy z bezpieczeństwem, cały system może być podatny na atak w powyższym przykładzie jesteś narażony na problemy w serwerze WWW, zewnętrznym programie, interpreterze Visual Basica, Jecie oraz serwerze baz danych. W zwykłych okolicznościach zarówno interpreter Visual Basica, jak i Jet są niewidoczne, ale Jet miał problemy z bezpieczeństwem.

Jeśli chodzi o program łączący się z serwerem baz danych, możesz nie wiedzieć, jak działa, ale zapewne uświadamiasz sobie, że jest dla ciebie ważny. Problemy z bezpieczeństwem mogą jednak istnieć również w programach, które uważasz za zbyt proste, by się o nie martwić zdarzały się na przykład problemy z programami licznikowymi (które tworzą małe rysunki z napisem „Jesteś 437 gościem na mojej stronie”). Wydają się zupełnie niegroźne bądź co bądź, jeśli nawet ktoś zdoła zakłócić zwracane przez nie odpowiedzi, nikt się tym specjalnie nie przejmie. Problem polega na tym, że programy te przechowują informacje w pliku, co oznacza, że mogą odczytywać i zapisywać pliki w komputerze. Niektóre programy licznikowe można skłonić do odczytania i zapisania każdego pliku, do którego mają prawo dostępu, a nadpisując dowolne pliki informacjami o liczbie wizyt na stronie, można wyrządzić mnóstwo szkód.

Aby zminimalizować zagrożenia powodowane przez zewnętrzne programy, traktuj je tak, jak wszystkie inne serwery. W szczególności: Instaluj zewnętrzne programy dopiero wtedy, kiedy zastanowisz się nad ich implikacjami dla bezpieczeństwa i przetestujesz je w zabezpieczonym komputerze.

Używaj tylko tylu zewnętrznych programów, ilu konieczne musisz. Uruchamiaj zewnętrzne programy z minimalnymi przywilejami. Nie zakładaj, że programy te będą uruchamiane tylko ze stron albo formularzy CGI, które sam utworzyłeś.

Opracuj specjalną konfigurację hosta bastionowego dla zewnętrznych programów, usuwając wszystkie niepotrzebne pliki i dokładnie sprawdzając prawa dostępu oraz położenie plików, które są odczytywane i zapisywane.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>