Московский государственный университет имени М.В.Ломоносова
Опубликован: 21.09.2006 | Доступ: свободный | Студентов: 5056 / 926 | Оценка: 4.32 / 4.09 | Длительность: 19:19:00
ISBN: 978-5-9556-0076-0
Лекция 10:

Безопасность web-содержимого

< Лекция 9 || Лекция 10: 1234 || Лекция 11 >

Список действий для обеспечения безопасности web-содержимого

Гарантировать, что никакая из следующих типов информации не доступна через публичный web-сервер.

  • Классифицированные записи.
  • Внутренние правила и процедуры персонала.
  • Чувствительная или частная информация.
  • Персональная информация о сотрудниках.
  • Номера телефонов, e-mail адреса или списки руководства.
  • Расписание сотрудников и их местоположение.
  • Чувствительная информация, относящаяся к домашней безопасности.
  • Инвестиционные записи.
  • Финансовые записи.
  • Процедуры обеспечения физической и информационной безопасности.
  • Информация о сети организации и информационной инфраструктуре.
  • Информация о физических уязвимостях безопасности.
  • Планы, карты, диаграммы строений.
  • Материалы с грифом копирайта без письменного разрешения собственника.
  • Политика безопасности, перечисляющая типы мер безопасности в той степени, в которой это может быть полезно атакующему.

Установить документированную формальную политику и процесс принятия решения об опубликовании web-содержимого.

  • Определить информацию, которая должна быть опубликована в web.
  • Определить целевую аудиторию.
  • Определить возможные негативные последствия опубликования информации.
  • Определить, кто должен отвечать за создание, опубликование и сопровождение конкретной информации.
  • Предоставить руководства о стиле и формате для опубликования.
  • Обеспечить соответствующий просмотр информации, касающийся наличия чувствительной информации и возможности ее распространения.
  • Определить соответствующие ограничения доступа и управление этими ограничениями.
  • Обеспечить руководство, касающееся информации, которая может содержаться в исходном коде web-содержимого.

Обсудить возможность использования частной информации пользователей.

  • Опубликовать политику, касающуюся использования частной информации.
  • Запретить сбор персональных идентификационных данных без явного разрешения пользователя.
  • Запретить использование persistent cookies.
  • Использовать сессионные cookies, явно указав это в политике, касающейся частной информации.

Обсуждение безопасности активного содержимого на стороне клиента.

  • Использовать активное содержимое на стороне клиента только в случае абсолютной необходимости.
  • Не предпринимать никаких действий без запроса явного разрешения пользователя.
  • По возможности предлагать альтернативы (например, возможность загрузить файл в формате PDF вместо формата Word).

Обсуждение безопасности активного содержимого на стороне сервера.

  • Упростить код для обеспечения его легкого понимания.
  • Ограничить доступ к файлам либо по чтению, либо по записи.
  • Ограничить или исключить взаимодействие с другими программами (например, такими, как sendmail ).
  • Не требовать выполнения с привилегиями suid.
  • Использовать полные имена путей (т.е. не полагаться на переменную path ).
  • Не иметь директорий с одновременно установленными привилегиями по записи и выполнению.
  • Разместить все выполняемые файлы в отдельных директориях.
  • Запретить SSI или запретить функцию выполнения в них.
  • Проверять корректности всего ввода пользователя.
  • Динамически созданные страницы не должны содержать опасных метасимволов.
  • Кодировка набора символов должна быть явно указана на каждой странице.
  • Просканировать пользовательские данные относительно наличия последовательностей байтов, означающих специальные символы для данной схемы кодирования.
  • Проверить cookies относительно наличия любых специальных символов.
  • Использовать механизм шифрования трафика для паролей, введенных через формы.
  • Для web-приложений, которые имеют ограничения, связанные с именами пользователей и паролями, проследить, чтобы ни одна web-страница не была доступна без прохождения соответствующего процесса аутентификации.
  • Удалить все примеры скриптов.
  • Не использовать никаких скриптов или выполняемого кода третьих фирм без проверки исходного кода.
< Лекция 9 || Лекция 10: 1234 || Лекция 11 >
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?