avocatnet.ro 
Pe site-ul Centrului național de răspuns la incidente de securitate cibernetică (CERT-RO), a apărut un „set de măsuri generale pentru securizarea aplicațiilor web”. În concret, acest set nu este unul exhaustiv cu privire la măsurile de securitate care pot fi folosite pentru apărarea integrității unor site-uri, însă conține un număr de exemple relevante. De asemenea, deși el este adresat instituțiilor, sugestiile pot fi la fel de ușor aplicate și de către firme.
Exemplele de măsuri sugerate de către CERT-RO sunt:
1) Este recomandată actualizarea constantă a elementelor site-urilor bazate pe CMS-uri (Content Management System) cunoscute (de exemplu: Wordpress, Drupal, Joomla etc.). Actualizarea se referă la CMS și la plugin-uri.
2) În cazul utilizării de teme sau plugin-uri gratuite, există riscul ca ele să fie, deja, infectate sau să aibă anumite vulnerabilitiăți.
3) „Utilizarea unui certificat SSL – HTTPS (Secure Sockets Layer - Hyper Text Transfer Protocol Secure) care criptează conexiunea dintre browser-ul din care este accesat site-ul și server, conexiunea criptată fiind utilizată pentru a asigura identitatea furnizorului de servicii și pentru a asigura protejarea datelor utilizate în tranzacția efectuată. Trebuie specificat faptul că o conexiune criptată SSL nu este suficienta pentru a proteja site-ul de atacuri sau infectări cu aplicații malware și nici nu le previne.”
4) Câmpurile care sunt folosite pentru completarea formularelor de pe pagini web trebuie validate și sanitizate. Scopul este de a se elimina datele care nu „îndeplinesc tipul de bază, formatul și lungimea corespunzătoare”.
5) De asemenea, este recomandată sanitizarea „datelor introduse de utilizatorii site-urilor web prin intermediul formularelor, atât la salvarea în baza de date, cât și la afișarea în browser”. Astfel, sunt împiedicate „datele care au fost introduse intenționat în mod greșit să ajungă în bazele de date”.
6) O altă recomandare se referă la faptul că doar mesajele de eroare ce țin de validarea datelor introduse de către utilizatorii unui site să le fie transmise acestora. De asemenea, este sugerată „crearea de mesaje de eroare custom pentru mesajele de eroare generale ale aplicației (în care ar putea fi afișate detalii privind structura bazei de date, credențiale etc.)”.
7) Se recomandă utilizare de token-uri „CSRF (Cross Site Request Forgery) pentru prevenirea atacurilor cu același nume și care determină un browser web să facă o acțiune nesolicitată cu privire la o aplicație în care un utilizator este logat.
8) De asemenea, este de dorit utilizarea unor parole complexe - atât „de către administratorii aplicațiilor web, cât și de către utilizatorii acestora”.
CERT-RO, pe lângă măsurile sugerate și prezentate mai sus, a elaborat un „ghid pentru securizarea aplicațiilor și serviciilor web”, ce poate fi accesat aici.
Riscul pentru companiile care nu recurg la măsuri de securitate suficiente sunt destul de mari. Dincolo de compromiterea sistemului, eventuala mediatizare a unei astfel de situații ar putea să îi creeze companiei un prejudiciu de imagine. Mai mult, ar putea atrage și sancțiuni, în domeniul protecției datelor, de exemplu, unde lipsa infrastructurii de securitate poate duce la amenzi (puteți citi despre un exemplu în care o companie a fost sancționată, pentru lipsa măsurilor adecvate de securitate, aici).
Ion122333
Comentarii articol (0)