Sikkerhetsrutiner før lansering.

En tråd i 'Produkter og verktøy' startet av Tony J, 2 Jan 2012.

  1. Tony J

    Tony J Alle skal få

    Innlegg:
    1.509
    Hei igjen!

    Før man lanserer et nettsted man anser som "ferdig" og klar for offentligheten så
    er det flere ting jeg tenker på i forhold til sikkerhet. F.eks brukerdatabase etc.

    1)Fins det noen enkle tommelfingerregler/forhåndsregler man bør gå igjennom før man
    inviterer offentligheten? Vi har jo alle lest og hørt om nettsteder som har blitt hacket etc og mistet navn og passord på medlemmer. Jeg vil ta alle forhåndsregler her.

    2) Bør man forhåndsteste serveren i forhold til hvor mye trafikk den kan ta igjennom før man inviterer allmenheten?

    Tar imot alle tips som kan klargjøre og forbrede meg før markedsføring av mitt nettsted.
    Prøver å unngå flest mulig "ah det tenkte jeg ikke på" opplevelser.

    Ha en fin dag

    Tony
     
  2. Tony J

    Tony J Alle skal få

    Innlegg:
    1.509
  3. adeneo

    adeneo Medlem

    Innlegg:
    1.611
    Helt sikkert blir det aldri, og alt kan hackes, men det første man bør tenke gjennom er hva en eventuell hacker har å tjene på å forsøke å ta over siden din eller kontoer på siden din.
    Overføres det på noen som helst måte penger gjennom siden din, eller kan siden din gi tilgang til kontoinformasjon eller lignende. I så fall bør man vurdere SSL på store deler av siden eller i enkelte tilfeller på hele siden.

    Lagres det personlig informasjon utover det som er alment tilgjengelig i telefonkatalogen, eller er siden av en slik natur at også vanlig personlig informasjon kan gi brukerne dine noe ubehag dersom andre får tilgang til denne informasjonen.
    Passord og slike ting bør selvfølgelig aldri lagres direkte uten at de hashes og gjerne saltes, cookies bør aldri inneholde direkte informasjon om brukere, pass på hva du sender til serveren, også gjennom ajax, og stol aldri på noe som kommer fra en bruker, men filtrer input på serveren nøye, og husk at alle sikkerhetstiltak man gjør på klientsiden (les i javascript) er helt døfødte ettersom det er klienten som er den parten du ikke stoler på, og alt som generes eller sendes til klienten kan leses rett i en nettleser, og ajax funksjoner kan endres til å sende hva som helst til serveren.

    De fleste rammeverk og cms har allerede en del sikkerhet innebygget, men dersom du ikke bruker noe slikt så er de vanligste smutthullene XSS, CSRF og SQL injection, som alle er relativt enkle å forebygge, i hvert til en slik grad at ikke hvem som helst kan komme inn.

    Normalt er det ikke hensiktsmessig for vanlige nettsider hvor det ikke er noen reell verdi for en hacker å ta alle mulige forholdsregler, og de aller fleste nettsider blir heller ikke voldsomt populære over natten, slik at å overoptimalisere er gjerne bare bortkastet arbeid ettersom du helt sikkert kommer til oppleve massevis av problemer dersom siden skulle bli enormt populær uansett hvilke forhåndsregler man har tatt.
    Til syvende og sist så må man selv vurdere hva som er hensiktsmessig og hvor verdifulle dataene er, og så implementere sikkerhetstiltak utifra den vurderingen.

    Dersom du er spesielt interessert i å sjekke sikkerheten på siden din så er normalt den beste måten å gjøre det på å finne et forum for hackere og spørre der om noen klarer å komme inn på siden din. De fleste på slike forum tar det som en utfordring og hacker gjerne siden din helt gratis, og gir deg gjerne informasjon om akkurat hvordan de gjorde det slik at du kan tette diverse hull osv.
     
    Sist redigert: 2 Jan 2012
  4. Tony J

    Tony J Alle skal få

    Innlegg:
    1.509
    Takk for et utfyllende og godt svar:)
     
  5. Pong

    Pong Jeg selger sʇɥƃıluʍop :)

    Innlegg:
    3.456
    Utover det er det blitt marketingsmote (?) med 'beta'-versjoner.
    At KUN de som benytter seg av en invite kan få være med som de første på tjenesten.
    Litt lik en soft opening ;)
     
  6. Tonny Kluften

    Tonny Kluften Administrator

    Innlegg:
    15.946
    Hvis du bruker ferdige script eller CMS. Søk på Google etter om scriptet og scriptversjonen du bruker har noen kjente sikkerhetshull. Ellers så bør all software være oppdatert til siste versjon.
     
  7. Tony J

    Tony J Alle skal få

    Innlegg:
    1.509
    Har tenkt litt på de og det kan fort skje at jeg benytter meg av dette. :)

    Tony
     

Del denne siden