юни 07, 2010   Трикове
4

Криптиране на пароли за потребителска оторизация

Доста често разработчиците на софтуер си задават въпроса: „В какъв вид е най-добре да бъде запазена една парола в базата с данни?“ Повечето програмисти се спират на варианта с най-обикновенно MD5 криптиране, което между другото върши работа, но когато става дума за по-големи системи, където не трябва да се прави компромис с качеството, това не е достатъчно. В много от случаите MD5 хешовете могат лесно да бъдат разбити с помощтта на големи бази данни от MD5 хешове. Поради тази причина софтуерните продукти с отворен код все по-често започват да използват по-сложни варианти за криптиране на паролите. Разбира се, не трябва да се прекалява със сигурността, защото това би могло да окаже влияние на цялостната съвместимост на продукта.

Добро решение на проблема е паролите да се пазят в базата с данни в криптиран вид, заедно с добавена сол. Солта представлява определен набор от символи, които се добавят към паролата, след което паролата бива криптирана заедно с тях. По този начин възможността да бъде декриптирана паролата с използване на хакерски бази данни се свежда до нулева. Единствения вариант за нейното разбиване е да бъде направена BruteForce атака (брутална сила), когато всички възможни комбинации се проверяват и се прави сравнение между паролата в базата и генерирания хеш. Но в този случай хакерите трябва да знаят солта и хеша, също така паролата трябва да бъде примитивна.

Да си представим в момента цялостна система за оторизиране на потребители, без значение на какъв език за програмиране е писана тя (PHP, Python, Java). След регистрация, към паролата на потребителя се добавя случаен набор от символи, които се записват в отделно поле в таблицата. Паролата и солта се запазват заедно в криптиран вид (MD5, SHA1 и т. н.) За да бъде проверено, дали въведената парола от даден потребител съответства на тази, създадена при регистрацията, скрипта прави следната проверка. Взима от полета на таблицата солта, добавя я към въведената парола, криптира двете и сравнява двата хеша. Системата работи, и в същото време е достатъчно сигурна. Постигнахме точно това, което търсихме.

Разбира се, сигурността на една система не зависи само от това в какив вид се пазят паролите. За изграждането осигуряването на сигурността на Вашите системи, можете да използвате услугите на фирма Zapprotect.

Прочети повече
юни 06, 2010   Атаки
0

Какво представляват SQL инжекциите?

Има много начини една система да бъде пробита. Когато става дума за уеб базиран софтуер, това най-често става със SQL инжекции. Това е най-разпространения начин за атакуване на уеб сайт. В тази публикация накратко ще обясним какво точно представляват SQL инжекциите и какви са вариантите те да бъдат затворени.

SQL инжекциите са уязвимости с начина на обработка на заявките към SQL сървъра. Обикновенно бива подаван параметър, който освен информацията с ключа за конкретен запис, съдържа и допълнителен код. По този начин хакерите могат да извличат информация от Вашата база данни. Това могат да бъдат имейл адреси, които след това се използват за спам цели, администраторски профили и друга конфиденциална информация. Сега вече, надявам се, разбирате защо е важно да бъдат използвани силни пароли. Те се пазят в базата с данни в криптиран вид. Лесно се разбиват (посредством Bruteforce и MD5 Hash databases) лесните пароли. Обикновенно сложните не могат да бъдат декриптирани. Всеки един програмен език е уязвим към SQL инжекции. Обикновенно те се срещат при PHP, Perl, ASP.NET.

Решението е да се използват отделни функции, които проверяват параметрите, които се подават при изпълняване на заявка. Под PHP може да се използва mysql_real_escape_string() функцията. Друга нещо, което може да помогне е използването на променливи, съдържащи строго определен вид данни. Например, само числа, или само текст. Когато става дума за текст, той трябва да бъде много внимателно филтриран преди подаването му в SQL заявката. Това ще обезпечи нейното безпроблемно изпълнение и невъзможността да бъде пробита.

SQL инжекциите, като стар, но все още доста често срещан начин за атакуване на уеб сайтове, не трябва да бъдат подценявани. Огромно количество сайтове (дори правителствени) са уязвими към този вид атаки. Фирма Zapprotect би се заела с откриването на такива уязвимости на Вашия сайт и с тяхното затваряне. По този начин, Вие ще обезпечите конфиденциалността на информацията си и нейната цялостност.

Прочети повече
юни 05, 2010   Пароли
1

Значението на паролите

Когато става дума за конфиденциалност и запазване на важна информация, паролите са от основно значение. Именно поради тази причина при използване на каквото и да е система е от изключителна важност да бъдат използвани силни пароли. Няма да описвам какви поражения могат да бъдат нанесени на която и да е компания само от получаването на оторизиран достъп на недоброжелателни хора. Повечето потребители в интернет пространството създават лесни пароли, които по някакъв начин са свързани с тях. Проблем става, когато служителите на фирмата Ви започнат да използват такива.

За да бъде една парола ефективна, тя трябва да съдържа поне 8 символа, като тези символи трябва да бъдат малки и заглавни букви, специални символи (!@#$%^&*()_+) и цифри. Само тогава една парола може да се смята за сигурно. Друго условие е да не използвате еднакви пароли за различните услуги, които ползвате.

Възниква въпроса как да запомните такова голямо количество пароли. За целта можете да използвате мениджъри, доказали своята ефективност през годините си. Те ще Ви помогнат да организирате паролите. Има голямо многообразие от такива в интернет пространството. Предлагам Ви списък с няколко такива:

  • http://passpack.com/
  • http://www.clipperz.com/
  • http://www.mysafebox.com/
  • http://lastpass.com/
  • http://mitto.com/

Основните места, на които трябва да се акцентира с паролите са следните:

  • Имейл акаунтите. Повечето услуги изпращат информация за оторизиране при регистрация. Разбиването на паролата на Вашия имейл би било фатално.
  • Операционна система. Със сигурност пазите важна информация на Вашия компютър. Необходимо е да генерирате силна парола за потребителския профили на Вашия компютър, особено за root акаунта.
  • Социални мрежи. Това е мястото, където недоброжелателните потребители биха могли да получат най-много информация за Вас.
  • Мениджър на паролите. В случай, че бъде разбита паролата на Вашия мениджър на паролите, дефакто биват разбивани всички пароли.

Силна парола е тази, която няма смисъл. Това са основните неща, които е нужно да знае всеки един интернет потребител. Тогава измамените в интернет пространството драстично ще намалеят. Когато говориме за бизнес, това са изисквания, които задължително трябва да бъдат спазвани.

Прочети повече
юни 05, 2010   Трикове
1

Как да блокираме потребители по IP адрес с .htaccess файл?

Доста често системните администратори се объркват как е най-добре да бъде ограничен даден потребител по IP адрес. Особено когато става дума за споделен хостинг и система с ограничени възможности. Най-лесно това става с .htaccess файл, който трябва да бъде разпложен в основата на сайта.


order allow,deny
deny from 95.111.34.54
deny from 91.196.125.12
allow from all

Следният код ще ограничи съответно IP адресите 95.111.34.54 и 91.196.125.12. Преимуществото на този начин на блокиране е, че може лесно, без много усилия да бъдат блокирани нежеланите потребители, недостатъка е, че всичко това става на ръка. Понякога е неудобно да се влиза по FTP, специално за да се добави нов ред в .htacess файла. Също така този метод работи под Apache сървъри. Ако имате сървър с nginx, lighttpd или IIS по този начин няма да се получи.

Най-добрия вариант е да бъде изградена цялостна система за блокиране на потребители. Повечето готови CMS-и предлагат тази функционалност, но дори ако тя не е изградена, можете да се свържете с Zapprotect за изграждането на такава.

Прочети повече
юни 04, 2010   Разни, Сигурност
0

Компютърна безопасност от Zapprotect

Интернет е нашето ежедневие. Терабайти информация минават по българското интернет пространство всяка минута. Информация, съдържаща лични данни на стотици хиляди интернет потребители, информация, която трябва да бъде запазена. Загубата на информация, особено в големи размери, е фатална за всяка една фирма в IT сферата. Има огромна необходимост от професионалисти, които умеят да изграждат сигурни системи, интернет решения, които са устойчиви на атаки.

Zapprotect е фирма, насочила дейноста си именно в тази посока. Компанията се занимава с компютърна безопасност, изграждане на сигурни уеб приложения и всичко, обезпечаващо безопасността и нормалното функциониране на приложенията в интернет пространството. Компанията работи за всички отговорни към себе си, към своя бизнес и клиенти.

Не се колебайте да се свържете с нас във всеки един момент, удобен за Вас. Компютърната безопасност е нещо, което не е редно да се отлага във времето поради няколко причини. Първо, проблемите се решават в пъти по-лесно, когато се установяват навреме. Дори и да ги няма засега, се застраховайте. Второ, повечето хора се сещат за компютърната безопасност, когато вече е късно. Своевременното диагностиране на проблемите и тяхното отстраняване спестява много главоболия в последствие. Трето, всеки един пробив в интернет базираните решения обикновенно е фатален. Болшинството от успешно атакуваните интернет сайтовете губят огромна част от своите потребители, в повечето случаи не успяват да възстановят предишните нива на посещаемост.

Ние ще обезпечим цялата сигурност на Вашите данни, стабилността на Вашата система, успеха на Вашия бизнес, Вашето спокойствие, комфорта на Вашите клиенти.

Прочети повече
По-нови публикации »

  • Бъдете информирани

    RSS Feed Следете ни в Twitter
  • Славчо Хаджийски: Аз не съм толкова в час с нещата, в които се ровя ... »
  • DIDEXS: Това е доста полезно точно това ми трябваше за да ... »
  • Делян: Атанасе моля те хващай мотиката и стига писа глупо... »
  • Делян: Сара ще да е изхвърчала от Сони като тапа от задни... »
  • Делян: За домашни потребители, които нямат чуствителна ин... »