Dobre praktyki w zapobieganiu infekcji stron WWW

Większość witryn nie jest aktywnie monitorowana codziennie przez administratorów. Dopóki nie poskarżą się odwiedzający, administrator może nie zauważyć nic złego. Kod eksploita jest często jednym wierszem JavaScript zagubionym wśród tysięcy wierszy legalnego kodu.

Witryny powinny być lepiej monitorowane i zabezpieczane przed jakimikolwiek nieautoryzowanymi zmianami. Jednak świat nie jest doskonały i przepracowani administratorzy oraz programiści są jego częścią. Większość programistów webowych nigdy nie przeszła kursu bezpieczeństwa komputerowego, nie mówiąc o bezpiecznym programowaniu stron WWW.

Są trzy grupy osób, którym w dużym stopniu zależy na ograniczaniu warunków szerzenia się złośliwego kodu wśród witryn: użytkownicy końcowi, administratorzy zabezpieczeń i administratorzy WWW. Każda z nich powinna stosować różne zestawy dobrych praktyk (zob. ramki).

Jeżeli korzysta się z usług hostingu WWW, trzeba upewnić się, że ich dostawca zapewnia wysokie standardy bezpieczeństwa. Warto zapytać go o wewnętrzną politykę bezpieczeństwa i o to, jak zapobiega złośliwym atakom.

Należy zapewnić sobie silną separację logiczną, jeżeli nasz serwer WWW jest hostowany na wspólnym serwerze wraz z obcymi witrynami. Trzeba też dowiedzieć się, jakiego rodzaju narażenia dotyczące innych witryn mogą prowadzić do zagrożeń naszej strony internetowej.

Za tym wszystkim stoi idea "przechodniego zaufania": użytkownik zakłada, że witryna, którą odwiedza nie jest narażona; administrator witryny przyjmuje, że programista i użyte przez niego narzędzia zapewniają bezpieczeństwo, a programista jest przekonany, że administrator zabezpieczył serwer WWW i sieć. "Przechodnie zaufanie" przestaje obowiązywać, jeżeli tylko jedno ogniwo w tym łańcuchu zostanie narażone.

Opracowano na podstawie "Info-World Website malware Deep Dive".