Kdo bo plačal varnostno luknjo?

V okviru dogodka »Internet Week Ljubljana« sta včeraj SI-CERT in podjetje Domovanje organizirala srečanje slovenskih razvijalcev z naslovom »Kdo bo plačal varnostno luknjo?«. Tako Gorazd Božič, vodja nacionalnega centra za odzivanje na omrežne incidente SI-CERT, kot Uroš Čimžar, direktor podjetja Domovanje, sta izpostavila nekaj ključnih dejstev.

Top 10 lekcij ali kaj smo odnesli od srečanja spletnih razvijalcev?

1. Čas garažnih internet mojstrov je minil, spletnega mesta se je potrebno lotiti z ustrezno profesionalno podporo. To bodo morali spoznati predvsem lastniki spletnih strani!
2. Največja tveganja na spletnih mestih so: phishing, razobličenje in okužbe obiskovalcev.
3. Ponudnik gostovanja ni odgovoren za uporabnikove vsebine na strežniku, do tistega trenutka, ko je o protipravnosti obveščen. Nato mora ukrepati!
4. Spletni razvijalec ni nikoli tudi strokovnjak za šifriranje, zato ne izumljajte svojih šifrirnih algoritmov.
5. Top tehnike varnosti so: konfiguracija, preverjanje vhodnih podatkov, obravnava napak, šifriranje podatkov, ločitev kode od podatkov, backup. Na slednjega razvijalci pogosto pozabljajo!
6. Napotki, ki jih spletni razvijalci ne smete spregledati: OWASP TOP 10
7. Vsak osnovni paket vzdrževanja spletnih strani bi moral že vsebovati varnostne popravke. Naj ti ne bodo ponujeni šele kot dodatna opcija!
8. Varnost strežnika lahko povečate, če na strežniku izklopite storitve, ki so privzeto nameščene.
9. Ko kupujete VPS vedno preverite, kakšen način virtualizacije omogoča. Pomembno je, da omogoča tudi »live migration«, sicer bo ob kakršnih koli spremembah (selitve, nadgradnje..) strežnik po nepotrebnem nedosegljiv
10. Vedno tudi preverite, kakšen postopek nadgradenj vam omogoča kupljeni VPS. Že ob nakupu mora biti jasno, kdo bo vaš VPS vzdrževal.

Podobni članki