Компоненты, библиотеки и надстройки
Cтатья "Обеспечение безопасности веб-сайтов" предоставлена Sophos Plc и SophosLabs.
Декабрь 2007 г.
Многие веб-разработчики не утруждают себя изобретением велосипеда. Если вас просят добавить популярную и широко используемую функциональность, проще всего найти пакет, в котором уже есть имеющийся компонент, и настроить его под свои нужды. Подобная ситуация зачастую характерна для сложных многофункциональных микроприложений — блогов, форумов и систем управления контентом (CMS).
Причины для использования настраиваемых систем, предлагаемых сторонними разработчиками, очевидны: экономия времени и средств.
Тем не менее, как и любое другое ПО, подобные надстройки могут иметь свои недостатки. В связи с этим необходимо следить за тем, какие именно пакеты используются, и регулярно их обновлять. Популярность некоторых пакетов может вести к возникновению ложной уверенности в их надежности. Во многих распространенных пакетах обнаруживаются уязвимости, актуальные даже при правильной установке и настройке.
К числу популярных серверных приложений, в которых в прошлом обнаруживались серьезные уязвимости, относятся:
-
Wordpress (блог).
-
phpBB (форум).
-
CMS Made Simple (CMS).
-
PHPNuke (CMS).
-
bBlog (блог).
Многие из перечисленных (и аналогичных им) надстроек широко распространены, что делает их привлекательной целью для хакеров, стремящихся максимально расширить число потенциальных жертв. Поскольку большинство операционных систем и HTTP-серверов поддерживают автоматическое обновление, многие разработчики «настраивают и забывают» определенные функции, но при этом пренебрегают обновлением различных надстроек; это весьма опасная ошибка.
Опять-таки, здесь, как и ранее, рекомендуется использовать следующее правило: долой то, что не используется! Если поставщик услуг хостинга поддерживает подобные функции по умолчанию, отключите их. Если отключить их невозможно, следует подумать о том, нужны ли вам такие услуги.