[Solaris]

Citat:

Ursprungligen postat av Wijk

Solaris (nytt nick?) här på WN har skapat en tjänst som kan vara intressant för dig. Jag har själv inte testat, mer skummat igenom tråden och hemsidan, imponerande projekt dock.

http://www.wn.se/t1045096.html

Hehe, tack för omnämnandet.

On Topic.

Generellt sätt på statiska HTML-sidor så är det rätt svårt att göra rena intrång. Det finns begränsat med funktionalitet på sidorna, och därmed också begränsade angreppsmetoder. Ifall du har ett uppdaterat AV, vettigt lösenord på din FTP och en ren HTML-sida är det väldigt svårt att som angripare göra något vettigt utav den.

Skulle väl eventuellt vara ifall angriparen rotar servern och får tillgång till alla hemsidor som hostas på den, eller att en angripare kommer åt DNS servrarna och pekar om dem till sina egna domäner.

Däremot när vi kommer till lite mer dynamiska sidor, och börjar blanda in databaser, då får man passa sig. Det finns en hel del att läsa om bland annat XSS, CSRF och SQL-injections. Spontana tips är väl följande.

Se till att köra htmlentities på alla din GET-variabler.
Använd gärna PDO när du blandar in SQL (Då slipper du dessutom tjafs som att escapa och ta bort slashtecken i variablerna).
Kontrollera så att rätt indata matas in, kan kännas överflödigt. Men ett ID ska bara ha ett ID och inte något annat, även om du filtrerar ut eventuella XSS-attacker genom htmlentities så kan man fortfarande mata in data genom HEX-värden.
Se till att när du inkluderar saker så ska du försäkra dig om att de saker du inkluderar enbart bör ligga lokalt på server. Läs närmare på om RFI (Remote File Inclusion).

Sen kan man fördjupa sig otroligt mycket inom detta område, man kan gå extremt långt i ens säkerhet.

P.S - Salta alla lösenorden som sparas i databasen (gärna unika salter)

[ChingChing]

Tackar Solaris :>! Hänger helt med, känns mycket lättare för mig nu att förstå. Men lite off-topic nu så är väl statiska sidor, inte så inne längre? Jag kollade din hemsida, med säkerhetslösningen, den var skit bra!

Har du ett förslag på en annan sida som erbjuder säker cms? Om det finns alltså en guide som visar hur man kodar säker CMS, så kan jag ta tiden och lära mig oxå.

[taz76]

Jag kan rekommendera att du tittar på något ramverk som t.ex Codeigniter. Detta har flera inbyggda säkerhetsfunktioner som är bra att ha.. som t.ex kan man ställa in det att söka efter XSS-attacker och använder man databas så har Codeigniter ett smidigt bibliotek med s.k Active Record som förebygger SQL injections =)

Statiska sidor kan fungera utmärkt - det beror på vad det är för syfte och vem som ska administrera sidan. Kanske är det en reklam-site som inte kommer uppdateras eller bara en gång per år så kan ett större system med ett CMS vara overkill.

Wordpress är ett populärt system för hemsidor numera.. men om man slarvar och inte uppdaterar så får man också tänka på att det är ett populärt hackermål när det hittas nya buggar som kan utnyttjas.

[tartareandesire]

Citat:

Ursprungligen postat av taz76

Jag kan rekommendera att du tittar på något ramverk som t.ex Codeigniter. Detta har flera inbyggda säkerhetsfunktioner som är bra att ha.. som t.ex kan man ställa in det att söka efter XSS-attacker och använder man databas så har Codeigniter ett smidigt bibliotek med s.k Active Record som förebygger SQL injections =)

Statiska sidor kan fungera utmärkt - det beror på vad det är för syfte och vem som ska administrera sidan. Kanske är det en reklam-site som inte kommer uppdateras eller bara en gång per år så kan ett större system med ett CMS vara overkill.

Wordpress är ett populärt system för hemsidor numera.. men om man slarvar och inte uppdaterar så får man också tänka på att det är ett populärt hackermål när det hittas nya buggar som kan utnyttjas.

Om man är / vill bli utvecklare så är det nog en bra idé att lära sig säkerhet och kod innan man börjar använda Codeigniter eller liknande, annars är risken stor att man missar sådant när man väl frihandskodar.

[ChingChing]

Okej, riktigt intressant! Så rent generellt om jag vill nu börja lära mig skapa dynamiska hemsidor med CMS, vilken sida ska jag gå in på? Jag tycker väldigt mycket om era tips!

[AndreasS]

Beror ju på vilket CMS, Wordpress har ju en svensk sida med info och support: http://wp-support.se/

För Joomla är nog www.joomla.org bästa resursen.

[ChingChing]

Hur fungerar Wordpress? Sorry om jag låter lite dum. Men kan jag alltså koda min hemsida med egen design på t.ex ASP eller PHP med alla funktionerna jag vill, sen sätta in Wordpress som cms? Kostar det något, eller är det bara "begräsnade funktioner" jag måste använda som wordpress har. T.ex röstningsfunktion osv. För annars måste jag ju intigrera dem med systemet.

[AndreasS]

Det mesta är inbyggt i Wordpress, du kan givetvis skapa egna sidor i PHP/ASP men det mesta finns i Wordpress själv. Själva Wordpress är gratis, vissa tillägg kan kosta pengar.

Läs gärna på om Wordpress, det är extremt väldokumenterat om du söker på Wordpress på Google, eller gå till http://wordpress.org/

[tartareandesire]

Wordpress är väldigt flexibelt. Du kan använda det över hela din sajt, bara på vissa delar, endast som administrationsverktyg etc. Du kan använda helt egen design eller använda någon de tusentals templates som redan finns (vissa gratis, vissa kostar). Du kan använda de plugins som finns, koda egna funktioner osv. Endast fantasin och dina egna kunskaper sätter gränserna kort och gott. Sedan är det långt ifrån alltid som Wordpress är det bästa alternativet, det beror helt på vad det är för något man bygger.

[ChingChing]

Jaha okej... Det låter väldigt intressant ska kolla upp det.. Men när man kodar hemsidor åt företag och väljer Wordpress, är det bara då designen som man själv skapar. För resten verkar vem som helst kunna skapa, det känns inte rätt så schyst då? Jag menar mot företaget, om dem ska köpa en wordpress sida kan dem ju lika gärna lägga några timmar själv om allt är gratis templates osv?

Edit: Jag tänker också när ska man använda som bäst statiska sidor och när använder man som bäst wordpress? eller är det bättre att själv göra ett cms-system åt sina sidor?