Vigyázat, pongyola! Csak laikusoknak.

A hackerfeleség naplója

Legyen biztonságos weboldalad!

Mik a lehetőségeid, ha te nem értesz hozzá?

2017. február 28. - hackerfeleség

Pár napja a pizzériás eset kapcsán (is) elkezdett érdekelni, hogy mégis mit csinálhatnak egy hasonló történet szereplői, milyen lehetőségeik (esetleg kötelességeik vannak).

14438581410_170cb186b3_b.jpgBiztonságos weboldalakat, webáruházakat fejleszteni lehet, de nem minden webfejlesztőnek van meg hozzá a tudása, és azt is tudni kell, hogy ez nem olcsó. Tehát összerakja a szomszéd Pistike a weboldalad harmincezerért, de az egészen biztosan nem lesz biztonságos.
A weboldalak, webáruházak tulajdonosainak jelentős részének nincs 0,5-1,5 millió forintja arra, hogy egy valóban biztonságos weboldalat csináltasson magának egyedi fejlesztésben.

De akkor mi a megoldás? Ne legyen weboldala, ne nyisson webáruházat senki, aki nem tud kezdetnek ennyit befektetni? Vagy vegye tudomásul minden felhasználó, hogy az adatait az esetek nagy részében nem biztonságos helyeken kénytelen megadni?

 

Mit tehetek, ha új weboldalt, webáruházt szeretnék?

Jó eséllyel nem tudod eldönteni, hogy a webfejlesztő cég, akit megbíznál az oldal fejlesztésével, képes-e azt biztonságosan elkészíteni neked. Nem is kell mindenhez értened, de azért van, amit tehetsz.

Úgy köss szerződést a fejlesztőkkel, hogy abban legyen benne, hogy ha az oldalt megvizsgáltatod egy etikus hackerrel, akkor az általa talált hibákat ingyen kijavítják neked. Ha ilyen szerződést nem írna alá a fejlesztő cég, akkor keress másikat!

A fejlesztőknek és az üzemeltetőknek elemi érdekük, hogy olcsón tudják adni a szolgáltatásukat. Azon nem tudnak spórolni, amit látsz, de azon igen, amit nem. A megrendelő nem csúnya, de biztonságos weboldalra vágyik általában, így aztán a fejlesztők a biztonságon fognak spórolni, hogy örülj a szép weboldaladnak.
Ne dőlj be! Neked nem szép, de nem biztonságos oldal kell, hanem szép ÉS biztonságos!

És hogy mi olcsó és mi drága? A fenti 500.000 Ft jó kiindulás egyedi fejlesztés esetén. Próbáld a dolgot úgy nézni, hogy nem a pénztárcádból pislogsz ki. Lehet, hogy neked 100.000Ft-os befektetés is sok (=drága), de objektíven az nem számít drágának, sőt! Vedd tudomásul, hogy 500.000Ft alatt nem igazán van esélyed szép ÉS biztonságos egyedi fejlesztésű webáruházat kapni a fejlesztőtől.

Ha megelégszel nem egyedi fejlesztéssel, akkor egy opensource rendszer telepítése, és biztonságos beállítása már meglehet 150.000Ft-ból, de annál olcsóbban nem igen.

Vedd tudomásul, hogy a jó munka pénzbe kerül. Vedd tudomásul, hogy fillérekért nem fogsz biztonságos, minőségi weboldalt kapni, olcsón egyszerűen nem lehet jól megcsinálni ezt sem, mint ahogy annyi minden mást sem.
Ha nincs rá elég pénzed, akkor vedd tudomásul, hogy nagyobb eséllye van annak, hogy feltörhetik az oldaladat, és ebből problémád lesz a későbbiekben. Szóval tudod: csak tudatosan!

Etikus hackerrel megvizsgáltatni egy weboldalt az az oldal bonyolultságától függően 100.000 Ft-tól kezdődő összeget jelent. Jó, ha ezt rá tudod szánni az oldal vizsgálatára. És még jobb, ha a talált hibákat ki is javíttatod a fejlesztővel, különben csak kidobott pénz az egész vizsgálat.

 

Ha már van weboldalad, webáruházad

Etikus hackerrel egy régi oldalt is érdemes lehet átnézetni, ezzel gyakorlatilag ugyanannyi a teendő, mint ahogy azt fönt írtam. A talált hibákat javíttasd ki a fejlesztőkkel!

Ha megtörtént a baj, feltörték az oldalad, akkor azonnal fordulj a fejlesztőhöz, és javíttasd meg vele a hibát. Ha hozzáértés hiányában nem tudja elvégezni a javításokat, keress mást. (Hogy aztán a rossz fejlesztést hogyan rendezed a dolgot, azt már rád bízom.)

Baj esetén értesítsd a felhasználóidat is, mert így tisztességes, meg mert igenis joguk van tudni arról, ha valaki hozzájutott a nálad használt jelszavukhoz. Például azért, hogy meg tudják változtatni minden olyan más helyen, ahol esetleg ugyanezt a jelszót használták.
Igen, nem kellene máshol is ugyanazt a jelszót használniuk, mint nálad, de ettől még nem büntetheted őket azzal, hogy nem közlöd velük a tényt, hogy feltörték az oldalad, tegyenek belátásuk szerint. Már csak azért sem, mert neked pedig kötelességed volna biztonságos weboldalt üzemeltetni, ahol a felhasználóid biztonságban tudhatják az adataikat.

Jelentsd be a rendőrségen is, ha feltörték az oldaladat.

 

wmf_sdtpa_servers_2009-01-20_36.jpgNem csak a webalkalmazás fontos!

A dolog ott semmiképp sem állhat meg, hogy biztonságos weboldalt fejlesztettél magadnak. Ha ugyanis mindez egy nem biztonságos szerveren (webhosting a varázsszó, ami ismerős lehet) fut, akkor megette a fene az egészet!

Biztonságos hostingot is úgy találhatsz magadnak, ahogy webfejlesztőt: ha szerződésben vállalják, hogy egy esetleges vizsgálat során feltárt hibákat javítják, akkor jó. Ha nem, keress mást!

 

A következő posztban leírom, mit tehetsz felhasználóként.

A bejegyzés trackback címe:

https://hackerfeleseg.hu/api/trackback/id/tr9212286881

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

IamTwo 2017.02.28. 21:09:37

Hmm. elképzelem, hogy egy blogra vagy egy webshopra benyögöm az 500.000-es árat.... Ez csak kkv szinten vagy felette képzelhető el, mikrovállalkozás infarktust vagy röhögőgörcsöt kap egy ilyen árajánlattól.
A kész megoldás meg ritkán jó, mert mindig kitalál a T. ügyfél valamit, keveseket lehet rábeszélni.

SimpleMe 2017.03.04. 20:43:11

Szia!Megtennéd hogy elolvasod a: kerdezek@-es emailjeidet ,kb 1 hete küldtem emailt .Várom válaszod!

hackerfeleség 2017.03.08. 12:30:45

@SimpleMe: Bocs, technikai és időbeli problémák akadtak, de hamarosan írok. Bocs, bocs, bocs!