|
Avtobiografija
Vlatko Kosturjak je strokovnjak na področju
IT pri IBM, in sicer za globalne kot tudi interne (zasebne)
storitve. Specializiral se je na področju etičnega hackanja,
revizije IT, razvoja varnostne politike glede na ISO/IEC
17799 standard, svetovalnih storitev za načrtovanje, izvedbo
in veljavnost stalnih in obnovitvenih programov ter pomoč
strankam pri uporabi učinkovitih varnostnih rešitev za
zaščito njihovih informacij. Veliko izkušenj ima pri vzpostavljanju
varnostnih sistemov za mreže in serverje na različnih operacijskih
sistemih.
Tema predavanja
Nevarnosti PHP aplikacij
Skozi internet se vsak dan pretakajo občutljivi
podatki. V istem trenutku najvišji delež prometa na medmrežju zavzema splet,
ki je tudi največkrat dovoljen na različnih mrežnih napravah. Tako je razumljivo,
zakaj so najobčutljivejši podatki prav na nivoju spleta in zakaj je varnost spletnih
aplikacij danes med najbolj izpostavljenimi stvarmi.
Na predavanju bo govora o načinu zaščite spletne aplikacije
na posameznih delih in nivojih s primeri v PHPju. Čeprav
so primeri v PHPju, bodo le-ti zanimivi tudi za spletne
razvijalce, ki uporabljajo Perl ali ASP. Teorija o zaščiti
spletnih aplikacij je povsod enaka
PHP (okrajšava za "PHP: Hypertext Preprocessor")
je zelo uporabljan odprtokodni splošno uporaben skriptni
jezik, ki je posebej primeren za razvoj spleta in je lahko
vgrajen v HTML. Prva črta obrambe je zaščita sistema
z različnimi mrežnimi napravami (požarni zidovi, sistemi
za zaznavanje vdorov - IDS, ...) in operacijskimi sistemi.
Med pogostejše in bolj znane tehnike sodi omejevanje določenih
TCP/IP vrat, skupaj z avtomatskim zaznavanjem vdiralcev.
Druga črta obrambe je zaščita samega spletnega strežnika. To je lahko
gleda na različne spletne strežnike zelo težavna ali pa zelo enostavna naloga.
Za zaščito je na voljo tudi veliko namenskih programov. Vsekakor pa je ročna
priprava zaščit in nastavitev z dobrim poznavanjem problematike vedno najboljša
rešitev
Naslednja stvar je pregled delovanja
PHP modula. Pri tem je znanih veliko "exploitov" na
različnih spletnih strežnikih. Prav tako ima sam PHP modul veliko konfiguracijskih
opcij, ki so uporabne za povečanje varnosti modula in PHP skript. Zadnji
in najpopularnejši problem dandanes je zasnova spletnih aplikacij. Načrtovalci
so predvsem pozorni na varnost sistema na mrežnem nivoju in pogosto ignorirajo
varnost na nivoju spletnih aplikacij. Načrtovalci, sistemski arhitekti in programerji
bi morali biti pozorni na številne varnostne grožnje v spletnih skriptnih jezikih,
kot je PHP. Sistemski arhitekti bi tudi morali biti dojemljivi za številne
varnostne mehanizme že v začetku. Slabo izvedeno delo programerjev
lahko vodi do resno ogrožene varnosti.
V programski paket PHP je že vključena tudi varnostna dokumentacija.
Torej, zaščitite svoje spletne aplikacije,
ampak ne pozabite: "Popolnoma
varen sistem je navidezno nemogoč, tako da pri varnosti pogosto uporabljamo pristop,
ki je po eni strani riskanten, po drugi pa uporaben. Če bi vsak podatek, ki ga
vnese uporabnik, vseboval dva biometrična podatka (kot npr. sliko mrežnice in
prstni odtis), bi potrebovali zelo visok nivo preverjanja uporabnikov. Prav tako
bi porabili pol ure za izpolnitev precej zahtevnega obrazca, ki bi uporabnike
vzpodbujal k iskanju poti mimo varnostnega mehanizma. Najboljša varnost je ponavadi
dovolj nemoteča, da se prilagaja zahtevam, ne da bi uporabnika odvračala od dela
ali obremenjevala avtorja kode s posebno zahtevnostjo. Ironično, nekateri varnostni
napadi so zlorabljali prezahtevno grajeno varnost, ki je čez čas popustila." (PHP
dokumentacija) |
