Image
4.3.2016 0 Comments

IT Pro: Myslíte na zabezpečenie svojho e-shopu?

Internetové obchody zhromažďujú údaje svojich zákazníkov a prijímajú od nich peniaze. Tieto osobné údaje zhromažďujú na jednom mieste a často sa ani nestarajú o ich zabezpečenie. Sú preto lákavým a bohužiaľ často aj ľahkým cieľom útočníkov. Poďme sa spoločne zamyslieť nad zabezpečením slovenských obchodov.

SSL certifikát je základ

SSL certifikát zamedzuje odpočúvanie dát cestujúcich internetom. V opačnom prípade môže nešifrované dáta čítať ktokoľvek, kto sa dostane do ich "blízkosti" a cesty (verejné WiFi, firemná či školská sieť). Stačí na sieti počúvať a v zaznamenaných dátach nájsť vaše heslo. Je evidentne nevyhnutné, aby bola komunikácia medzi e-shopom a návštevníkom chránená.

Okrem technického aspektu, ktorým je šifrovanie, slúži SSL certifikát tiež k autorizácii servera; jednoducho povedané na potvrdenie, že skutočne "hovoríte" so správnym serverom. Keď sa napríklad chcete prihlásiť do internetového bankovníctva vašej banky, bude vás zaujímať, či ste pripojení k správnemu serveru a nie k falošnému. K tomu môže poslúžiť SSL certifikát a údaje v ňom uvedené. Je rozdiel, keď server používa certifikát vydaný iba pre nejakú doménu, alebo keď používa EV certifikát s rozšíreným overením, kde overený názov firmy vidíte na prvý pohľad. Rozšírené overenie znamená, že si vydavateľ príslušnú firmu dôkladne "preklepne" a certifikát vydá len s jej súhlasom. Je tak prakticky vylúčené, že certifikát získa nepovolaná osoba.

Vyššie vidíte grafické porovnanie DV a EV certifikátu. EV certifikát obsahuje overenie informácie a názov organizácie, ktorý je na prvý pohľad viditeľný. Ktorému serveru by ste viac verili?

Ďalšou nespornou výhodou šifrovania prenášaných dát je to, že ich nemôžete cestou zmeniť (pridať nejaký obsah, malware, vírus). Komunikácia je tak chránená proti narušovaniu treťou stranou.

Šifrujte, šifrujte a šifrujte

Akonáhle budete mať SSL certifikát na e-shope nasadený, presvedčte sa, že je používaný pre celú doménu. Použitie napríklad len pre prihlásenie zákazníkov je chyba a presvedčila sa o tom aj Alza.cz. Keď šifruje, tak zásadne celý web a bez výnimiek.

Problémom môže byť tzv. Zmiešaný obsah. To znamená, že sa do zabezpečenej stránky načíta nezabezpečný obsah. Najčastejšie sa to stáva u e-shopov nahrávajúcich obrázky (v odkaze na obrázok je uvedené HTTP miesto HTTPS alebo relatívneho odkazu). Horším prípadom načítania nezabezpečených prvkov sú skripty; tie sa už dnes snažia prehliadače rovno blokovať a to môže spôsobiť problémy funkčnosti e-shopu.

Kódujte nielen prenášané, ale aj uložené dáta. Zamedzíte tak možnosti ich prečítaniu nepovolanou osobou. Uvedomte si, že e-maily sa na servery ukladajú v nešifrovanej podobe. Fakt, že je pre spojenie s poštovým serverom použité SSL / TLS šifrovanie nič nemení na tom, že je možné e-maily ľahko kompromitovať. Citlivé dáta do e-mailov rozhodne nepatria a preto opakujem - heslá si nikdy neposielajte e-mailom, ak možno údaj odovzdať inak. Ak vám niekedy heslo e-mailom dorazí, tak si ho u danej služby ihneď zmeňte.

Najväčšou chybou je ukladanie databázových dát v čitateľnej podobe. Heslá zákazníkov bývajú uložené v čitateľnej textovej podobe a (čo je najhoršie) bývajú posielané e-mailom. Nie je tak ťažké sa k nim dostať a odcudzenie databázy (najľahšie jej zálohy na FTP) sa tak stáva nočnou morou. Stačilo by pritom rešpektovať základné zásady bezpečného návrhu systému e-shopu.

Dáta v databáze je možné šifrovať a hesla nie je nutné ukladať ako "slová", ktoré sa dajú zistiť. Zašifrované heslá je možné rozšifrovať a dostať sa tak k pôvodným čitateľným heslám, preto by mali byť v databáze uložené hesla hashované ( "hešovanie") správnym, relatívne pomalým algoritmom. To preto, aby ich lámaniu trvalo dostatočne dlho aj na výkonných počítačoch.

Možno sa čudujete, prečo sa hesla nemusia ukladať; je to preto, že stačí porovnať unikátny odtlačok (hash) zadaného hesla s heslom v databáze. V prípade zhody je jasné, že užívateľ heslo pozná. U súčasne používaných funkcií nie je možné, aby pre dve slová existoval rovnaký odtlačok.

Venujte pozornosť zabezpečeniu aplikácií

SSL certifikát a šifrovanie sú dôležitými predpokladmi na zabezpečenie e-shopu a jeho zákazníkov. Nie sú však konečným cieľom, pretože potenciálne zraniteľná je každá webová aplikácia. Veľmi dôležité je zabezpečiť taktiež aplikačnú časť vášho e-shopu tak, aby do neho vďaka programátorským chybám neprenikol každý tínedžer, ktorý skúsi hackovanie podľa návodu z internetu.

Veľa e-shopov je založených na hotovom riešení profesionálneho dodávateľa. Požadujte od neho záruku bezpečného systému (napríklad bezpečné ukladanie informácií a hesiel do databázy, ktoré možno ľahko preukázať či vyvrátiť). E-shopom, ktoré posielajú pri registrácii heslo e-mailom, sa radšej vyhnite oblúkom.

Nerozumiete pojmom ako XSS, SQL Injection alebo HTTPS? Nevadí, nie je to vaša chyba. O tieto aspekty e-shopu sa má starať programátor, ale ako ukazuje skutočnosť nášho trhu, často je bezpečnosť až na poslednom mieste. Preto sa odborníci snažia prinútiť tento trh k osvete, či už po dobrom, alebo praktickým dôkazom zraniteľnosti webu.

Bezpečnosť a  odborníci na ňu nie sú naši nepriatelia

Bezpečnosť je jednou z priorít e-shopu. Nezáleží na tom, či programujete e-shop sami (vyvíjate ich komerčne), alebo máte e-shop prenajatý. SEO nie je jediným aspektom, ktorý vás má u e-shopu zaujímať. Bezpečnosť je síce nevďačná - zabezpečenie zákazníckych údajov v databáze vám vyššie tržby neprinesie - ale patrí k zodpovednosti pri podnikaní, ktorá je nevyhnutná. Rezignovať na zabezpečenie je pre podnikateľov rovnako dobré rozhodnutie ako prestať platiť dane.

Bezpečnostní odborníci radou nešetria a snažia sa ostatným pomôcť. Ak má váš e-shop ambície a nechcete v budúcnosti riskovať problémy či dokonca fatálny koniec, zvážte poradu s odborníkom a bezpečnostný audit vášho e-shopu. Možno sa vám to nevráti hneď, ale budete v kľude spať a zákazníci sa vám nebudú vyhrážať žalobami.

Ing. Peter Tomaščík

Špecialista na bezpečnostné SSL certifikáty

www.sslmarket.sk

 

Zobrazit Galériu

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Red Hat a Veracomp: Open source a cloudy

09.12.2016 12:05

Cieľom ďalšej z radu spoločných akcií firiem Red Hat a Veracomp Slovakia v Bratislave bola prezentácia produktov, služieb a stratégií týkajúcich sa najhorúcejších tém IT podpory biznisu s využitím naj ...

ITPro

Právne okienko

08.12.2016 12:02

1. Ako postupovať, ak obchodník nechce uznať reklamáciu tovaru objednaného z e-shopu? V takomto prípade môžu nastať v zásade dve situácie. Ak zákazník reklamuje tovar do 12 mesiacov od jeho kúpy, mož ...

ITPro

Red Hat Forum 2016: Otvorená digitálna transformácia

09.12.2016 11:51

Podujatím v Prahe pre región CENE (stredná a severná Európa) rezonovala komunitná atmosféra a snaha o spoluprácu podľa pravidla „každý s každým“. IT musí priniesť do digitálneho biznisu novú kultúru a ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá