[JonathanJames]

Tänkte sätta samman en mindre guide (dock större än den som finns här) med lite praktiska tips vad gäller webserversäkerhet, det mesta baserat på praktisk erfarenhet från min IT-säkerhetskonsultverksamhet. Blir nog ett projekt som jag kan jobba på ett tag framöver.. lägger väl upp första revisionen senare ikväll någon gång.

Tänkte komplettera rätt mycket med struktur, länkar och lite mer ingående tips för bl a PHP-utvecklare.

Vi får se hur det går, rätt mycket som ska skrivas

[JonathanJames]

Citat:

Originally posted by Adam N@Feb 20 2008, 20:05
Jonathan (eller någon annan som vet), om man följer dina råd ovan, bör man då ha
en dedicerad server eller går det lika bra med VPS?

Finns nog rätt mycket mer erfaret folk här som kan VPS bättre.. Men om jag ska ta det från säkerhetsperspektivet så ska det generellt sett inte spela någon roll eftersom VPS:er funkar ungefär på samma sätt som en dedikerad server med undantaget för att man delar på resurserna med andra som har VPS:er på samma maskin.

Däremot kanske man kan fundera över skillnaden mellan "Operativsystemvirtualisering" och "Hårdvaruvirtualisering". Möjligtvis kan det finnas buggar eller säkerhetsproblem i Operativsystemsvirtualiseringen som man inte känner till än.

Kanske är jag ute och cyklar..

Ska man köra en större lösning är nog dedikerad server bättre eftersom en större VPS kostar ungefär lika mycket som en dedikerad server.

Svamlar jag?

[SimonP]

Forum brukar ofta ha många buggar, här kan det vara värt att köra kommersiella varienter, som t.ex vBulletin. Modifiera själva forum-inloggningen så att din inloggning blir unik.

Lås alla sessionsID till IP-nummer för att minimera problemen med XSS/Session HiJacking - attacker.

SSL är bra men det kan även ge en "falsk" säkerhetskänsla, skicka aldrig lösenord i klarttext över nätet, även om man kör SSL.

[JonathanJames]

Med risk för att få ett ont öga eller två av moderatorn här så har jag postat min lilla vidareutveckling av säkerhetstipsen på min blogg:

http://www.jonathanj.com/2008/02/21/...ur-web-server/
Funkar inte så bra att paste:a hela blogg-artikeln i IPB's post-ruta. Blir inte så snyggt om man säger så.

[Adam N]

Jonathan: Underbart att du delar med dig av din kunskap på detta
sätt. Den där sidan kan mycket väl bli en klassiker. Än en gång stort
TACK! Jag har några små synpunkter, men det tar jag via PM senare.

SimonP: Tack för tipsen. Jag hade tänkt köra Drupal som CMS. Ska
se om den är tillräckligt säker. Om inte, så ska jag tipsa dem om hur
de kan göra den säkrare och kanske själv bidra med utveckling om
jag kan.

[JonathanJames]

Har uppdaterat blogg-posten litegrann (SFTP/FTPS, osv).

Är det något annat specifikt IT-säkerhetsmässigt som kan vara av intresse för någon här?

Eventuellt tänkte jag att jag kan skriva en post om hur man kodar säkra inloggningsscript som inte tillåter SQL-injection samt hur man hanterar lösenord/kreditkort på ett hyfsat säkert sätt.

Det bör väl vara rätt intressant med tanke på vad som hänt de senaste månaderna (hacken av piratebay, bilddagboken, webhotell osv).

[SimonP]

Det finns en del gamla trådar också, här är några:

http://www.webmasternetwork.se/f4t26147hl-st0.html
http://www.webmasternetwork.se/f2t26277hl-st0.html

[Adam N]

Många rekommenderar OpenBSD, men jag hittar ingen VPS-leverantör
som specifikt stödjer detta. Samma sak med FreeBSD. Vad beror det på?