Bezpečnosť webových stránok

Webové stránky

/

Je potrebné mať zabezpečené webové stránky, ktoré sú v súčasnosti neustále pod drobnohľadom, pretože sú vytvárané cielené útoky so zámerom kompromitovať (hacknúť) webové stránky.

Primárnym cieľom už nebýva pozmenenie úvodnej, resp. niektorej inej stránky webu (tzv. defacement), ale infiltrácia škodlivého kódu so širokým spektrom zneužitia – od rozposielania spamov, cez pokus o infiltráciu počítačov návštevníkov,…

Bezpečný návrh na zaistenie bezpečnosti

  • Webová stránka by mala pozostávať z verejných a privátnych zón a navigácia medzi nimi by nemala umožniť tok citlivých informácií medzi týmito zónami.
  • Citlivé informácie musia byť uchovávané v zašifrovanej podobe.
  • Validácia vstupov musí byť vykonávaná ako na strane klienta, tak aj na strane servera.
  • Kód by mal byť udržiavaný, prehľadný a dokumentovaný.
  • Prezentačná vrstva musí byť oddelená od logickej vrstvy.

Šifrovanie

  • Na webový portál sa musí pristupovať prostredníctvom protokolu HTTPS.
  • Identita webového portálu musí byť zabezpečená platným, dôveryhodným certifikátom vydaného na doménu, na ktorej je dostupný webový portál.
  • Webový portál nesmie používať nedôveryhodné alebo ex-spirované SSL/TLS certifikáty.
  • Údaje, ktoré sú citlivé z hľadiska integrity alebo dôvernosti  sa musia prenášať iba prostredníctvom zašifrovaného spojenia SSL/TLS.
  • Citlivé údaje (zvlášť prihlasovacie údaje) musia byť prenášané výhradne prostredníctvom zašifrovaného kanála.
  • Webový portál nesmie ukladať citlivé informácie v nezašifrovanej podobe na strane klienta, ani na strane servera.
  • Webový portál nesmie vkladať nešifrované zdroje bez SSL/TLS do stránok s SSL/TLS.

Certifikáty

Certifikáty slúžia k zabezpečeniu citlivých dát. Veď skoro každý vyžaduje po svojich klientoch či zákazníkoch vyplnenie citlivých dát, ako sú  napr. osobné a identifikačné údaje, číslo platobnej karty, prihlasovacie údaje, rodné číslo a pod.)
Webové prehliadače požadujú, aby všetky weby používali HTTPS. Nové technológie a výkony serverov umožňujú nasadenie HTTPS bez problémov a prevádzkovatelia www stránok by už nemali na nič čakať a odkladať nasadenie SSL certifikátu na ich stránky.

2. stupňové overovanie

Dvojstupňovému overeniu sa niekedy hovorí aj dvojfaktorová autentifikácia.

  • Pri prihlasovaní vždy použijete vaše pôvodné heslo, ktoré doplníte o druhý stupeň ochrany.
  • Ten sa aktivuje vždy, keď sa pokúšate do účtu prihlásiť z nového zariadenia.
  • Pri prihlasovaní do účtu vám na mobil dorazí krátky číselný kód, bez ktorého sa do služby nedá prihlásiť. Inými slovami, potvrdzujete, že ide skutočne o vás.
  • Útočník by tak okrem hesla potreboval mať prístup aj k vášmu telefónu.

Určitou nevýhodou funkcie je, že počas prihlasovania musíte mať so sebou buď svoj telefón, alebo aspoň prístup k emailovému kontu.

Pri prihlasovaní si však môžete vybrať, aby si zariadenie zapamätalo, že ide o vás. Najbližšie tak už nebudete potrebovať kód.

Pri textových správach stále existuje riziko, že útočník by sa k nim mohol dostať. Pre väčšiu bezpečnosť tak môžete použiť aplikácie, ktoré sú určené priamo pre dvojstupňové overenie. Dajú sa použiť aj na počítačoch.

Prečo je bezpečnosť webových stránok dôležitá pre hodnotenie SEO?

Bežná webová stránka je dodávaná so zablokovaným kľúčom v paneli s adresou URL, ale webové stránky bez certifikátov SSL na druhej strane majú značku „Not Secure“. Platí to pre všetky webové stránky, ktoré majú akúkoľvek formu.

Technicky je hlavnou výhodou zabezpečenia protokolu HTTPS (Hypertext Transfer Protocol Secure) namiesto protokolu HTTP (Hypertext Transfer Protocol) to, že používateľom poskytuje bezpečnejšie pripojenie, ktoré môžu použiť na zdieľanie osobných údajov s vami. Toto pridáva ďalšiu úroveň zabezpečenia, ktorá sa stáva dôležitou najmä v prípade, ak na svojom webe akceptujete akýkoľvek spôsob platby.

To top