Zabezpieczenie strony HTML + CSS przez atakami

[acmenagers]

Cześć ! Jestem amatorem w tworzeniu stron internetowych - jestem w stanie zrobić dobrze wyglądającą stronę - ale jej kod jest bardzo amatorski i chaotyczny. Zastanawiam się, czy może tak po prostu ma być, czy można jakimś lepszym kodem napisać jakiś element. Wszystko robię w html + css + javascript + jquery = w sumie wszystko jest strasznie wymieszane.

 

Zastanawiam się w jaki sposób mogę zabezpieczyć taką stronę przed atakami hakerskimi.

Jakiś czas temu na zrobionej przeze mnie stronie - zostały zamienione treści na stosy przekleństw.

 

Od czego jest to zależnie - czy od sposobu wykonania strony, czy od jakości hostingu ?

[JamLasica]

Jeśli statyczną stronę (a taką podajesz - nie widzę tutaj żadnego PHP/Ruby/Pythona/Perla, czegokolwiek) ktoś Ci zmienił to wyłącznie dlatego, że uzyskał dostęp do plików Twojej strony.

A skoro uzyskał dostęp, to pewnie korzystałeś z jakiegoś prostego hasła - hostingi czasami też są winne - mają swoje problemy, ale znaczna większość informuje o tym klientów. Skoro nie dostałeś takiej informacji to pewnie ktoś wykradł Twoje hasło do FTP/hostingu/poczty. Zmień hasła, używaj wszędzie innego hasła, nie rozdawaj go innym i nie zapisuj w programach typu Total Commander ;-)

Edytowane 28 Kwietnia 2014 przez JamLasica

[acmenagers]

Roruzmiem, dzięki za szybką odpowiedź. Czyli żeby wprowadzić jakieś zamieszanie na naszej stronie - koniecznie musi ktoś wejść na nasz serwer lub bazę danych ?

 

Jeszcze niestety nie znam się na PHP - wszystko co robie jest - tak myślę, raczej bardzo amatorskie jeszcze pod względem skryptów.

[JamLasica]

Przy tym co Ty podałeś nie masz prawa mieć dostępu do bazy danych, bo żadna z tych technologii/języków nie obsługuje tego, więc dlaczego o to pytasz?

Zaczynam wątpić czy Ty wiesz o czym piszesz, pokaż tę stronę :>

[acmenagers]

Jasne, że wiem - pytam ogólnie. Jeżeli oprzesz stronę np. o jakiegoś CMS to masz też bazę danych. To stara strona - zrobiona w sumie tylko dla samego siebie - to znaczy w ramach nauki. Pytam teraz ogólnie. Czy dostęp do serwera lub bazy danych jest jedyną drogą do zrobienia zamieszania na naszej stronie.

Edytowane 28 Kwietnia 2014 przez acmenagers

[JamLasica]

Tak, tylko jak oprzesz stronę o jakiegoś CMSa to dochodzą Ci do tego wszystkie dziury tego CMSa i technologii (np. PHP) z nim związanych i wszystkie te pierwsze posty-rozważania nie mają zupełnego sensu i możesz je wyrzucić do kosza.

Jeśli masz statyczną stronę HTML+CSS+JQuery+JavaScript to nie masz żadnego CMSa ani bazy danych i jedyna edycja treści może się odbyć poprzez dostęp do systemu plików serwera - panel www/FTP i tak dalej.

Jeśli masz stronę opartą o CMS (np. napisany w PHP) to tutaj sprawa już wygląda zuuuuuuuupełnie inaczej i tych potencjalnych miejsc ataku jest znaaaaacznie więcej i jeśli ten CMS zawiera jakieś błędy (a na pewno zawiera, bo wszystko zawiera ) to przez tego CMS (i PHP) mają dostęp do... wszystkiego - plików, treści, bazy danych i tak dalej. No i zabezpieczanie tutaj to raczej nie Twoja działka, a wydawcy tego CMSa - aktualizuj, patrz czy coś zmieniają i działaj. Ty tylko 'stroną wizualną' się zajmujesz, bo jako 'amator' masz nikłe szanse znaleźć w nim błędy przeglądając kod źródłowy.

Edytowane 28 Kwietnia 2014 przez JamLasica

[acmenagers]

Tak, tylko jak oprzesz stronę o jakiegoś CMSa to dochodzą Ci do tego wszystkie dziury tego CMSa i technologii (np. PHP) z nim związanych i wszystkie te pierwsze posty-rozważania nie mają zupełnego sensu i możesz je wyrzucić do kosza.

Jeśli masz statyczną stronę HTML+CSS+JQuery+JavaScript to nie masz żadnego CMSa ani bazy danych i jedyna edycja treści może się odbyć poprzez dostęp do systemu plików serwera - panel www/FTP i tak dalej.

 

 

To wiem.

 

Dzięki za drugą część. Czyli wynika z tego, że bezpieczniejsza dla amatora jest strona statyczna bez CMS - np. Wordpressa i tym podobnych.

[Macsch15]

(a na pewno zawiera, bo wszystko zawiera )

Jeżeli taki soft jest pisany przez ludzi z doświadczeniem a nie gimnazjalistów, są nikłe szanse na jakieś prowizoryczne metody manipulowania danymi przez nieodpowiednie osoby.

[JamLasica]

Dzięki za drugą część. Czyli wynika z tego, że bezpieczniejsza dla amatora jest strona statyczna bez CMS - np. Wordpressa i tym podobnych.

Bezpieczniejsza - na pewno tak.

Wygodniejsza - na pewno nie.

Super-hiper-interaktywna z komentarzami, blogami i super wpisami - też nie.

Musisz przemyśleć:

1. co na tej będziesz trzymał.

2. jak często będziesz to zmieniał.

3. Czy to Ty masz zmieniać (HTML znasz, więc jakiś obrazek, link, pogrubienie nie jest problemem) czy pani Władzia z sekretariatu nie mająca pojęcia co to HTML i potrzebuje takie menu jak w Wordzie/Office-ie.

Jeśli to ma być prosta strona firmowa-wizytówka, ze stałą ofertą (lub w PDFie - ZŁO!) i jakiś newsem raz na miesiąc i Ty będziesz to aktualizował to żaden CMS Ci nie jest potrzebny.

Jeśli strona ma być generowana dynamicznie z bazy danych - bo coś często zmieniasz, masz jakiś cennik aktualizowany codziennie czy coś takiego to możesz pomyśleć nad prostym CMSem/skryptem.

Jeśli planujesz kopię facebooka lub super stronę z pytaniami/odpowiedziami widzów/klientów/komentarzami to bez żadnego CMSa się nie obejdzie

*-jednym z bezpieczniejszych rozwiązać jest posiadanie (przykładowo) Wordpress, gdzieś głęboko ukrytego, za hasłem i "potrójną ścianą ognia" ( ), wprowadzania zmian w nim i generowanie statycznego HTMLa i publiczne udostępnianie tylko tego HTMLa. (Przykładowo: http://wordpress.org/plugins/static-html-output-plugin/). Tylko tutaj musisz kopiować pliki po każdej zmianie - co zabija trochę użyteczność takie CMS-a, ale zwiększa bezpieczeństwo. Musisz po prostu zadać sobie te trzy pytania wyżej ;-)

Jeżeli taki soft jest pisany przez ludzi z doświadczeniem a nie gimnazjalistów, są nikłe szanse na jakieś prowizoryczne metody manipulowania danymi przez nieodpowiednie osoby.

Prowizoryczne... Bierzesz popularny CMS z szerokim supportem i wtyczkami (bo wtyczki są fajne i ułatwiają pracę) kończysz na ruskich/chińskich botach zwiedzających całą sieć i exploitującymi znane problemy i zastanawiasz się potem co się stało ze stroną... a, bo to trzeba aktualizować jak wychodzą poprawki, a nie postawić i zapomnieć przez 2 lata.

Bierzesz jakiś mało popularny (i drogi wtedy! ) CMS napisany przez ludzi z doświadczeniem i robiących testy i najlepiej jeszcze oddajesz im administrowanie (za kolejną kasę) i tak, masz problem z głowy.

Błędy są wszędzie i będą wszędzie, trzeba dokonać rachunku zysku/strat. Zupełnie inaczej atak i podmiana zawartości strony odbije się na reputacji małej firmy sprzedającej ciastka na bazarze, a wielkiej firmy zajmującej się oprogramowaniem (typu Microsoft).

Edytowane 28 Kwietnia 2014 przez JamLasica