Компоненты, библиотеки и надстройки

Cтатья "Обеспечение безопасности веб-сайтов" предоставлена Sophos Plc и SophosLabs.

Декабрь 2007 г.

Многие веб-разработчики не утруждают себя изобретением велосипеда. Если вас просят добавить популярную и широко используемую функциональность, проще всего найти пакет, в котором уже есть имеющийся компонент, и настроить его под свои нужды. Подобная ситуация зачастую характерна для сложных многофункциональных микроприложений — блогов, форумов и систем управления контентом (CMS).

Причины для использования настраиваемых систем, предлагаемых сторонними разработчиками, очевидны: экономия времени и средств.

Тем не менее, как и любое другое ПО, подобные надстройки могут иметь свои недостатки. В связи с этим необходимо следить за тем, какие именно пакеты используются, и регулярно их обновлять. Популярность некоторых пакетов может вести к возникновению ложной уверенности в их надежности. Во многих распространенных пакетах обнаруживаются уязвимости, актуальные даже при правильной установке и настройке.

К числу популярных серверных приложений, в которых в прошлом обнаруживались серьезные уязвимости, относятся:

  • Wordpress (блог).

  • phpBB (форум).

  • CMS Made Simple (CMS).

  • PHPNuke (CMS).

  • bBlog (блог).

Многие из перечисленных (и аналогичных им) надстроек широко распространены, что делает их привлекательной целью для хакеров, стремящихся максимально расширить число потенциальных жертв. Поскольку большинство операционных систем и HTTP-серверов поддерживают автоматическое обновление, многие разработчики «настраивают и забывают» определенные функции, но при этом пренебрегают обновлением различных надстроек; это весьма опасная ошибка.

Опять-таки, здесь, как и ранее, рекомендуется использовать следующее правило: долой то, что не используется! Если поставщик услуг хостинга поддерживает подобные функции по умолчанию, отключите их. Если отключить их невозможно, следует подумать о том, нужны ли вам такие услуги.

К следующему разделу

Написать в службу поддержки




Также вы можете перейти на сервис

Предыдущая
Следующая