| FAQ |
| Kalender |
2008-02-18, 20:12
|
#1 | ||
|
|||
|
Medlem
|
Som jag nämnt i några andra trådar, så håller jag på med en sajt där
säkerhet kommer vara viktigt. Jag har då tänkt använda SSL på allt, dvs allt kommer gå via https. Besökare som försöker använda http kommer automatiskt dirigeras om till https. FTP kommer inte finnas utan istället kommer jag använda SSH/SCP. Låter det som en bra början? Vidare kommer jag använda Drupal (baserat på PHP), MySQL, Linux (eller FreeBSD). Kommer då säkra upp dessa efter konstens alla regler och prenumerera på update-alerts så jag kan hålla dessa up-to-date med alla säkerhetspatchar etc. Är det naivt att tro att jag kan få till detta på egen hand? Tar tacksamt emot både konkreta tips och länkar till webbsidor där jag kan läsa på mer om detta. Har själv hittat följande sida som verkar vara en bra start: http://www.cgisecurity.com/questions...ewebsite.shtml |
||
|
 Svara med citat
|
|
2008-02-19, 09:47
|
#2 | |||
|
||||
|
Mycket flitig postare
|
Det beror helt på vilken typ av information som kommer hanteras på sajten, och kostnaden för ett eventuellt säkerhetsintrång. All kod som körs på din server kan innehålla potentiella säkerhetsproblem, från OS:et genom webbservern till Drupal. Om säkerheten är viktig för att dina användare kommer att spara lite känsliga fyllebilder, så är det nog helt OK. Om dina användare sparar information om sina ljusskygga skatteupplägg däremot...
Jämför kostnaden för ett eventuellt intrång med kostnaden för en säkerhetsgenomgång av erfarna säkerhetskonsulter (nej, jag är inte en sådan). Givet alla intrång på stora sajter den senaste tiden så känns det ju i och för sig inte som du har mycket att leva upp till 
|
|||
|
|
Svara med citat
|
|
2008-02-19, 09:59
|
#3 | ||
|
|||
|
Medlem
|
Citat:
|
||
|
|
Svara med citat
|
|
2008-02-19, 12:25
|
#4 | ||
|
|||
|
Medlem
|
Citat:
så ser man nog inte säkerheten som det viktigaste. |
||
|
|
Svara med citat
|
|
2008-02-19, 12:36
|
#5 | ||
|
|||
|
Medlem
|
Det är för att man lägger all ansvar för säkerheten på webbhotellet.
|
||
|
|
Svara med citat
|
|
2008-02-19, 13:31
|
#6 | ||
|
|||
|
Medlem
|
Citat:
skicka privata meddelanden till varandra (precis som man kan göra här på WN). Jag kommer inte ha råd att garantera medlemmarna 100% säkerhet, så jag kommer friskriva mig från sånt ansvar. Ett intrång skulle troligtvis göra att medlemmarnas förtroende för sajten och mig skulle sjunka rejält och därmed skulle det bli en indirekt ekonomisk förlust i alla fall. Det är också viktigt att medlemmarna får en känsla av att sajten är säker och seriös. Jag vill också personligen veta på vilket sätt sajten är säker, så jag kan besvara en del frågor från medlemmar som kan mer om säkerhet än vad jag kan. |
||
|
|
Svara med citat
|
|
2008-02-19, 13:42
|
#7 | ||
|
|||
|
Medlem
|
Citat:
VPS som bara jag själv har möjlighet att logga in på och all trafik till och från servern ska vara krypterad på ett eller annat sätt. Jag tror inte det går att helt förlita sig på webbhotellet heller. Om jag t ex ska köra Drupal så kan jag väl inte förvänta mig att att webbhotellet håller den up-to-date eller finns det webbhotell som erbjuder sånt? |
||
|
|
Svara med citat
|
|
2008-02-19, 14:40
|
#8 | ||
|
|||
|
Medlem
|
Nej självklart inte, det var inte det jag menade.
Men ingenting är ändå säkert, hackarna är alltid ett steg före. Hursomhelst, har själv 2 st servrar med w2k3 server, en php och en asp server. Har endast port 80 öppen och har läst på överallt för att göra den så säker som möjligt. Tvivlar starkt på att den skulle vara öppen för hack. Själv kommer jag åt allting, ftp och remote desktop m.m. SSH gör den inte mer hacksäker mot servern, utan det är mer att hackarna inte kan komma åt den information som sänds mellan servern och klienten (o vice versa). |
||
|
|
Svara med citat
|
|
2008-02-19, 16:25
|
#9 | |||
|
||||
|
Medlem
|
Citat:
säkersbrister. Alla hackers är inte superhackers som tar sig in var de vill när de vill. Skulle tro att de flesta bara klarar av att ta sig in på dåligt uppdaterade servrar och det kan vara halvdåliga hackers som är farligast när de väl har tagit sig in. Citat:
80 öppen. Citat:
men det gör det definitivt svårare för hackers att lyssna av användarnamn, lösenord och annat som skickas mellan klienten och servern. Alltså information som kan användas för att ta sig in på servern. Nu vill jag inte vara otrevlig, men det känns som att du inte är riktigt insatt i den typ av säkerhet som jag är ute efter. Det är inte jag heller, så jag hoppas någon annan än vi två kan skriva lite mer i den här tråden. :unsure: |
|||
|
|
Svara med citat
|
|
2008-02-19, 18:26
|
#10 | |||
|
||||
|
Mycket flitig postare
|
Håll all mjukvara uppdaterad och ha bara tre öppna portar på servern: 80, 443 och 22. Kör bara stabila versioner av all din mjukvara, inga betavarianter eller liknande.
80 ska bara redirecta till din SSL-sajt på 443. Kör kanske till och med en lättviktsserver typ lighttpd på port 80 som redirectar till apache på 443. Använd public key authentication för SSH och stäng av lösenordsinloggning. IP-lås SSH-inloggningen om du är paranoid. Tillåt bara att din användare loggar in via SSH och får shell. Kör krypterade backups så ofta som är rimligt beroende på innehållet. Använd tripwire. Etc. Använd inga webbaserade system för att administrera servern, eller om du måste, kör dom på en egen server och port, som bara lyssnar på localhost, och tunnla över SSH. Där har du några tips 
|
|||
|
|
Svara med citat
|
| Svara |
«
Föregående ämne
|
Nästa ämne
»
Linjär visning
|
|
Alla tider är GMT +2. Klockan är nu 19:14.