Vvmebel.com

Новости с мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Советы по безопасности

Советы по безопасности смартфонов

Современные смартфоны способны выполнять намного больше задач, чем несколько лет назад мобильные телефоны. Однако значительно расширенный диапазон возможностей означает и появление новых рисков.

Поскольку сейчас мы используем наши телефоны для большего количества задач (от общения в социальных сетях до покупок в интернете, банковских операций и просмотра веб-страниц), нам всем необходимо принимать разумные меры предосторожности для защиты наших телефонов и нашей информации от вредоносных атак.

Как сделать использование смартфона более безопасным

Далее приведено несколько советов по обеспечению безопасности смартфонов от экспертов «Лаборатории Касперского».

  • Блокируйте телефон
    Убедитесь, что функция блокировки экрана включена – таким образом можно уменьшить риск при попадании телефона в руки киберпреступника.
  • Используйте шифрование для сохранности важной для вас информации
    Проверьте, есть ли на телефоне функция шифрования данных, и убедитесь, что она используется. В случае кражи телефона компьютерные преступники не смогут получить доступ к личной информации, хранящейся на вашем телефоне, если эта информация зашифрована.
  • Отслеживайте поведение приложений на телефоне
    Убедитесь в том, что доступ к ресурсам на телефоне предоставлен с вашего разрешения после запроса от приложения. Это особенно важно для смартфонов Android.

  • Защитите телефон и вашу информацию
    Многие пользователи, которые даже не стали бы рассматривать возможность использования ноутбука, ПК или компьютера Mac без антивирусного программного обеспечения, забывают о том, что современные смартфоны являются мощными компьютерами, и они подвергаются той же опасности. Убедитесь, что на всех устройствах используется хорошо зарекомендовавшая себя антивирусная программа, а антивирусные базы данных регулярно обновляются.
  • Помните об опасности получения доступа уровня root путем джейлбрейкинга
    Несмотря на заманчивость получения прав уровня root с целью получения доступа к специальным приложениям и службам, это может существенно снизить его безопасность. Чтобы ваш телефон и ваши данные находились в безопасности, не пытайтесь получить права уровня root или осуществить джейлбрейк телефона.
  • По возможности отключайте Bluetooth
    Если Bluetooth-соединение не используется, лучше всего отключить его. Таким образом можно сделать телефон менее уязвимым к компьютерной атаке и уменьшить расход батареи.
  • При выборе антивируса для смартфона убедитесь в том, что оно имеет функцию защиты на случай кражи
    Некоторые продукты для защиты смартфонов включают широкий набор функций защиты на случай кражи, которые предоставляют хозяину дистанционный доступ к потерянному или украденному смартфону, чтобы его можно было заблокировать, установить местоположение и стереть данные.

Советы о безопасности на улице в закладки 11

Безопасность на улице

Деньги и документы деpжите во внутpенних каpманах, но поглубже. Если на Вас пальто и пиджак, то бумажник прячьте во внутренний карман пиджака. Приемы извлечения бумажника из внутренних карманов хорошо отработаны у профессионалов. Самый уязвимый карман — задний на брюках.

Безопасность на улице
Хpаните деньги в нескольких местах. Основную сумму деpжите не в бумажнике. Имейте секpетную емкость для денег: кожаный мешочек на шнуpке, вешаемый на пояс или на шею. Не носите доpогие вещи в откpытой сумке свеpху: их могут вытащить. Впpочем, могут выpвать у Вас и саму сумку.

Безопасность на улице
Обходите стоpоной компании, дpугих пpохожих. Не всматpивай- тесь в них: пpистальный взгляд pаздpажает не только оpангутангов. Имейте что-нибудь длинное тяжелое заметное: зонт, тpость. Если к Вам в безлюдном месте обpащается пpохожий, остановитесь подальше (а лучше не останавливайтесь вовсе), отвечайте вежливо: *Извините, не знаю*,*Извините, тоpоплюсь* и т.д. Опасайтесь даже невинных пpосьб.

Безопасность на улице
Если Вы увеpены в своей скоpости, а pепутации Вашей ничто не гpозит, сматывайтесь не стесняясь. В опасных местах пеpеходите на бег заpанее. Имейте два кошелька. Один — с небольшой суммой — для умиpотвоpения гpабителей и побиpающихся пpиятелей.

Безопасность на улице
Возможные защитные пpиспособления для улицы: свисток, заточенная отвеpтка, заточенная металлическая pасческа, свинцовый шаpик гpаммов на 50, хлопушка помощнее, соль в коpобочке (котоpую можно откpыть одной pукой в каpмане), баллончик со слезоточивым газом.

Безопасность на улице
Если Вам очень захотелось помочь незнакомому человеку в безлюдном месте, хотя бы держите дистанцию. Прежде чем откликнуться на просьбу, вглядитесь в того, кто к Вам обращается, и вообще осмотритесь.

Безопасность на улице
На тpотуаpе безопаснее посеpедине. Если Вы идете слишком близко от пpоезжей части, Вас может задеть автомобиль, вынесенный аваpией на тpотуаp. Был случай, когда пpохожего убило штангой тpолейбуса, у котоpой лопнула pессоpа.

Безопасность на улице
Не вскакивайте в двеpь тpанспоpта, котоpая вот-вот закpоется: может статься, что успеет только Ваша нога. В лучшем случае Вас пpотащит несколько метpов в опасной близости колеса.

Безопасность на улице
Не наступайте на люки: они могут пеpевеpнуться под Вами. Не футбольте пpедметы: они могут оказаться тяжелее, чем Вы думаете.

Безопасность на улице
Бойтесь толпы в любом месте: в автобусе, на митинге, в очеpеди, в кинотеатре и т.д. Стаpайтесь не мешаться с человеческой массой. Толпа лишает Вас маневpа в случае опасности. Она может pаздавить Вас в веpтикальном положении, или уpонить и пройтись по Вашим pебpам, или выдавить Вами витpину, или сломать Вами поpучни огpаждения.

Безопасность на улице
Пpи опасности сдваливания деpжите напpяженные пpедплечья гоpизонтально пpижатыми к pебpам с боков, кулаки сжатые. Это пpедохpанит Вашу гpудную клетку от сминания. Толпу образуют следующие эмоции: ажиотаж, ненависть, поклонение, стpах. Распознайте начало *сгущения туч* и смените свое местонахождение.

Безопасность на улице
Если Вы носите сумку чеpез плечо, помещайте ее не сзади, а сбоку или даже спеpеди. Пеpебpасывайте лямку чеpез голову.

Безопасность на улице
Обычный пpием гpабежа в цивилизованных стpанах — сpывание сумки пpоезжающим мотоциклистом. Такое пpоисшествие более веpоятно, если Вы идете по ходу тpанспоpта, то есть пpоезжая часть — слева от Вас.

10 советов по безопасности для защиты вашего сайта от хакеров

Вы можете думать, что ваш сайт не имеет смысла взламывать, однако веб-сайты постоянно находятся под угрозой взлома.

Большинство взломов веб-сайтов не преследует цели украсть ваши данные или нарушить работу сайта. Они направлены на использование вашего сервера для рассылки спама или временного использования веб-сервера для хранения файлов, обычно нелегального содержания.

Взломы постоянно производятся автоматизированными скриптами, написанными специально, чтобы прочёсывать интернет и пытаться взломать сайты, имеющие известные дыры в программном обеспечении.


Вот 10 наших советов, которые помогут вам сохранить ваш сайт в безопасности:

01. Обновляйте программное обеспечение

Это может показаться очевидным, но регулярное обновление программного обеспечения жизненно важно для поддержания безопасности вашего сайта.

Это относится как к операционной системе сервера, так и к любому программному обеспечению, которое используется на вашем сайте, такому как CMS или форум. Когда обнаруживаются дыры в безопасности программного обеспечения, хакеры быстро пытаются воспользоваться этим.

Если ваш сайт располагается на хостинге, тогда вам не стоит беспокоиться о своевременной установке обновлений для операционной системы, так как хостинговая компания должна заботиться об этом самостоятельно.

Если вы используете программное обеспечение сторонних производителей на вашем сайте, вроде CMS или форума, убедитесь, что вы устанавливаете обновления системы сразу после их выхода.

Большинство производителей ПО имеют рассылку или RSS канал с описанием проблем безопасности веб-сайтов. WordPress, Umbraco и многие другие CMS уведомляют вас о доступных обновлениях при входе в административную часть сайта.

02. SQL-инъекции

При атаке посредством SQL-инъекции атакующий использует поле веб-формы или параметр URL, чтобы получить доступ к вашей базе данных или манипулировать данными.

Когда вы используете стандартный Transact SQL, то возможно незаметно вставить мошеннический код в ваш запрос так, что он может быть использован для изменения таблиц, получения информации или удаления данных.

Вы можете легко предотвратить это, всегда используя параметризированные запросы.

Большинство языков веб разработки поддерживают эту возможность.

Если злоумышленник изменит параметр URL на ‘ or ‘1’=’1, это приведёт к тому, что запрос примет следующий вид:

Так как ‘1’ равен ‘1’, атакующий получит доступ ко всем данным таблицы. Также это позволит ему добавить дополнительный запрос в конец выражения SQL, который будет выполнен наряду с исходным.

03. XSS

Межсайтовый скриптинг заключается в том, что атакующий пытается передать JavaScript или какой-либо другой код в веб-форму, чтобы выполнить вредоносный код на вашем веб-сайте.

При создании формы всегда проверяйте данные, которые к вам приходят от пользователей, и кодируйте или маскируйте любые спецсимволы.

04. Сообщения об ошибке

Будьте осторожны с количеством информации, которое вы выдаёте в ваших сообщениях об ошибке. Например, если у вас есть форма для входа на ваш веб-сайт, вы должны обдумать сообщение, которое вы выдадите пользователю в случае неудачной попытки авторизации.

Вы должны использовать общие фразы, вроде « Неправильное имя пользователя или пароль », и не указывать, в чём именно пользователь ошибся.

Если злоумышленник пытается подобрать имя пользователя и пароль, а сообщение об ошибке выдаёт, что одно из полей было верным, тогда он может сконцентрироваться на оставшемся поле, что упрощает его задачу:

05. Проверка форм на стороне сервера

Проверка форм всегда должна производиться как на стороне браузера, так и на стороне сервера. Браузер может проверить простые ошибки, вроде незаполненного обязательного поля или текста, введённого в поле, требующее ввода числа.

Читать еще:  Политика безопасности включает

Однако эти проверки могут быть обойдены, и вы должны проверять эти условия также и на стороне сервера. Отсутствие подобной проверки может привести к вставке вредоносного кода в вашу базу данных или нежелательным результатам работы веб-сайта.

06. Пароли

Все знают, что нужно использовать сложные пароли, но это не значит, что люди всегда так делают. Критически важно использовать сложные пароли к вашему серверу и блоку администрирования веб-сайта, но не менее важно требовать от ваших пользователей использования сложных паролей к их аккаунтам.

Несмотря на то, что пользователи этого не любят, принудительные требования к паролям, такие как минимальная длина не менее восьми символов, включение в состав пароля символов в верхнем регистре или цифр, поможет им, в конечном счёте, сохранить их информацию.

Пароли всегда должны храниться в зашифрованном виде, лучше всего с использованием алгоритма одностороннего хэширования, например SHA. При использовании этого метода для авторизации пользователей вы просто сравниваете зашифрованные значения.

Для дополнительной защиты можно использовать « соль » для паролей, при этом добавляя новую «соль» к каждому паролю.

В случае если веб-сайт будет взломан и злоумышленник получит данные с паролями, хранение хэшированных паролей поможет снизить ущерб, т.к. потребуется их дешифрование. Лучшее, что может сделать злоумышленник в этом случае – это атака по словарю или атака перебором, то есть проверка всех возможных комбинаций, пока не будет найдено совпадение.

При использовании «соли» в паролях, процесс взлома большого количества паролей становится ещё медленнее, т.к. каждый вариант должен быть хэширован отдельно для всех комбинаций пароль + « соль », что требует больших вычислительных затрат.

К счастью, большинство CMS предоставляют инструменты управления пользователями со многими встроенными системами безопасности, хотя для использования « соли » или установки минимальной сложности пароля может потребоваться некоторая альтернативная настройка или дополнительные модули.

Если вы используете .NET, тогда стоит использовать провайдеры членства, т.к. они имеют множество настроек, предоставляют встроенную систему безопасности и включают в себя готовые элементы для входа в систему и изменения пароля.

07. Загрузки файлов

Предоставление пользователям возможности загружать файлы на ваш веб-сайт может быть связано с большим риском в плане безопасности, даже если речь идёт просто о смене аватара. Риск состоит в том, что любой загруженный файл, как бы безобидно он ни выглядел, может содержать скрипт, который при выполнении на вашем сервере открывает доступ к вашему сайту.

Если у вас на сайте есть форма загрузки файла, тогда вам нужно относиться ко всем загружаемым файлам с подозрением. Если вы позволяете пользователям загружать изображения, то при определении типа файла, вы не можете полагаться на расширение или mime-тип, так как они легко могут быть подделаны.

Даже открытие файла и чтение его заголовка или использование функций проверки размера изображения не являются стопроцентной гарантией безопасности. Большинство форматов изображений позволяют хранить комментарии, которые также могут содержать код PHP, который может быть выполнен на сервере.

Так что же вы можете сделать, чтобы предотвратить это? Обычно вам нужно запретить исполнение загружаемых файлов пользователями.

По умолчанию веб серверы не пытаются выполнять файлы с расширениями изображений, но не рекомендуется полагаться исключительно на расширение файла, так как известны случаи, когда файл « image.jpg.php » обходил эту проверку.

Вот некоторые варианты решения проблемы: переименование файла при загрузке, чтобы удостовериться в корректности разрешения; изменение разрешений для файла, например на chmod 0666 , чтобы он не мог быть выполнен.

В *nix системах вы можете создать файл .htaccess (смотрите пример ниже), который откроет доступ только к заданному множеству файлов, что исключит возможность атаки с двойным расширением, упомянутой ранее:

Однако, рекомендуемое решение – полностью исключить прямой доступ к загружаемым файлам. При этом любые файлы, загружаемые на ваш веб-сайт, хранятся в папке вне корня сайта или в базе данных как большие двоичные объекты ( BLOB ).

Если ваши файлы недоступны напрямую, вам потребуется создать скрипт (или обработчик HTTP в .NET), чтобы извлекать их из закрытой папки и выдавать браузеру.

Тэги img поддерживают атрибут src , который в данном случае не будет являться прямым URL-адресом изображения, а будет указывать на скрипт извлечения файла. Также не забудьте указать в скрипте корректный HTTP заголовок content-type .

Большинство хостинг провайдеров производит необходимые настройки сервера за вас, но если ваш веб-сайт работает на вашем собственном сервере, тогда есть ещё несколько вещей, которые вам нужно проверить.

Убедитесь, что у вас настроен межсетевой экран, и он блокирует несущественные порты. Если это возможно, настройте DMZ (демилитаризованную зону), открыв доступ из внешнего мира только к портам 80 и 443. Хотя, это может быть невозможно, если вы не имеете доступа к вашему серверу из локальной сети, так как в этом случае вам придётся открыть порты, позволяющие загружать файлы и удалённо управлять вашим сервером через SSH или RDP.

Если вы позволяете загрузку файлов из интернета, используйте защищённые методы передачи, такие как SFTP или SSH.
Если это возможно, выделите отдельный сервер под базу данных, отличный от веб-сервера.

При этом сервер базы данных не будет напрямую доступен из внешнего мира, только ваш веб сервер сможет получить доступ к нему, тем самым минимизируя риск кражи ваших данных.

Наконец, не забудьте ограничить физический доступ к вашему серверу.

09.SSL

SSL – это протокол, использующийся для обеспечения безопасности при передаче данных по сети интернет. Это хорошая идея использовать сертификат безопасности каждый раз, когда вы передаёте персональную информацию между клиентом и веб сервером или базой данных.

Злоумышленники могут прослушивать канал связи и, если он не безопасен, перехватить пересылаемую информацию и использовать её для получения доступа к аккаунтам и персональной информации пользователей:

10. Инструменты проверки веб-сайтов

Когда вы уже думаете, что сделали всё возможное, настало время протестировать систему безопасности вашего сайта. Наиболее эффективный способ сделать это – использовать инструменты проверки сайтов, также известные как тесты на проникновение или pen-тесты.

Для этого существует множество коммерческих и бесплатных продуктов. Они работают по схожей со скриптами хакеров схеме, используя все известные эксплойты и пытаясь взломать ваш сайт одним из описанных выше способов, например, при помощи SQL-инъекции.

Вот некоторые бесплатные инструменты:

  • Netsparker (доступна бесплатная пробная версия). Подходит для тестирования на SQL-инъекции и XSS
  • OpenVAS . Позиционирует себя как наиболее совершенный сканер системы безопасности с открытым кодом. Подходит для тестирования на известные уязвимости, на данный момент проверяет более 25000.

Но он сложен для установки и требует наличия сервера OpenVAS, который работает только под *nix .

OpenVAS – это разновидность системы Nessus до того, как последняя стала коммерческим продуктом.

Результаты автоматизированных тестов могут быть пугающими, так как они показывают все разновидности потенциальных угроз. Важным моментом является работа в первую очередь над критическими замечаниями.

К каждой выявленной проблеме прилагается хорошее объяснение потенциальной угрозы безопасности. Вы, скорее всего, решите, что некоторые средне- и малоопасные уязвимости не представляют угрозы для вашего сайта.

Если вы хотите пойти дальше, тогда есть и ещё некоторые действия, которые вы можете предпринять, попытавшись вручную взломать ваш сайт, изменяя значения POST/GET запросов.

Здесь вам может помочь debugging proxy (прокси-сервер отладки), так как он позволяет вам перехватывать значения HTTP запросов на участке между вашим браузером и сервером. Популярное бесплатное приложение, которое называется Fiddler , подойдёт для начала.

Так что же вам стоит попробовать изменить в запросе? Если у вас есть страницы, которые должны быть доступны только авторизованным пользователям, тогда я бы попробовал изменить параметры URL, такие как ID пользователя или значения cookie, чтобы попытаться выдать себя за другого пользователя.

Другая возможная область тестирования – формы. Изменяйте значения POST , чтобы попробовать отправить межсайтовый запрос или загрузить серверный скрипт:


Мы надеемся, что наши советы помогут вам содержать сайт и информацию на нём в безопасности.

К счастью, многие CMS имеют достаточно встроенных инструментов защиты, но всё равно неплохо знать о наиболее популярных угрозах безопасности, чтобы быть уверенным, что вы от них застрахованы.

Также существуют некоторые полезные модули CMS для проверки вашей системы на наиболее частые уязвимости.

Среди них Security Review для Drupal и WP Security Scan для WordPress.

Советы по безопасности для сограждан, уезжающих на работy в страны «черной» Африки

Ваша жизнь — самое ценное, чем вы располагаете. Из этого нужно исходить при приезде в незнакомую страну черной Африки. Постарайтесь собрать максимум информации о порядках и нравах города, куда прибываете. Пока не освоились на месте, предъявляйте завышенные требования, проще — включите режим «ушки на макушке».

Следующие советы по безопасности основаны на реальных событиях, произошедших в рядовой африканской республике. В разной степени актуальны для Гаити, Мали, Сенегала, Либерии, Берега слоновой кости, Гвинеи Конакри, Буркины, Ганы, Нигера, Нигерии, ДР Конго, ЦАРа, Южного Судана и подобных «shitholes™» стран.

Дом

Существуют устоявшиеся стандарты к требованиям безопасности жилища. Итак, погнали:

  • Выбирайте правильный спокойный район. В каждом городе существуют зеленые, желтые и красные зоны, в зависимости от уровня существующих рисков. Соответственно стоимость аренды может меняться в разы, в зависимости от правильности района. Информацией поделятся уже проживающие экспаты.
  • Оптимально жить на вилле за высоким забором с колючей проволокой, где несколько комнат, подвал.
  • Источник воды (колодец), электрогенератор и дорога с твердым покрытием.
  • Желательно иметь металлические решетки на окнах и дверях.
  • Необходима круглосуточная официально сертифицированная охрана, один человек днем, двое — ночью.
  • Еще лучше, если хозяин живет неподалеку, он обеспечит дополнительную безопасность своего дома.
Читать еще:  Origin код безопасности

Автомобиль

Большинство экспатов не практикуют водить самим машину, нанимая местного водителя. Если водите сами, то вот несколько советов:

  • Водите авто крайне аккуратно, соблюдая малейшие правила.
  • При движении двери и окна закрыты.
  • Лучше передвигаться минимум вдвоем в машине.
  • На парковке в общественных местах не оставляйте ничего на виду, что может заинтересовать грабителей, даже пачку сигарет — сломают окно и заберут. Лучше незаметно уберите в багажник или под сиденье.
  • При выезде с парковки задним ходом лучше, чтобы кто-то контролировал проезд. Местные дети-попрошайки любят практиковать имитацию наезда на них с криками, скандалом и лежащими под колесами детскими телами.

Возле мест скопления экспатов попрошайки облепляют вашу машину, скороговоркой прося деньги, в то же время внимательно осматривая содержимое салона. Никогда не видел, чтобы попрошайка смотрел мне в глаза (более действенный способ), прося милостыню. Всегда его внимание скользит по салону.

Случаи из жизни

Возле супермаркета, когда запарковали машину и собираетесь закрыть дверь с центрального замка, кто-то уже подкрался к задней двери с другой стороны и чуть-чуть приоткрыл ее, чтобы проникнуть в салон, когда вы уйдете в магазин.

Когда возвращаетесь из супермаркета, открыли машину, загрузили пакеты на заднее сиденье, сели, тут же подходят «торговцы» и предлагают интересный товар по низкой цене. Вы отвлекаетесь, в это время с заднего сиденья через другую дверь крадут пакеты с едой и всё, что успеют схватить.

Если оставили машину вне официальной парковки супермаркета, ресторана (мест не хватило), то при выходе к машине вас будет ожидать худосочный малец, который будет уверять, что тщательно охранял вашу машину, пока вас не было. Дайте ему доллар, не то в следующий раз могут проколоть колесо.

Движение в городе хаотичное, преимущество имеют, как правило, более дорогие автомобили. Большую проблему составляют все мотоциклы, которые нелегальны, т.е. они без номеров, страховок, водители без водительских удостоверений. Если попасть в ДТП с мотоциклом, то будете виноваты, соберется толпа, если водитель без чувств, могут сжечь вашу машину, не дожидаясь полицейских.

В правосудие на улице народ не верит, предпочитает суд Линча. На виновного в смерти или краже надевают покрышку от автомобиля и поджигают, блокировав руки. Если прибыла полиция — вам повезло, откупитесь и проблема решена.

Полиция

Полиция никогда не поможет забесплатно, только за взятку, сумма зависит от вашего цвета кожи и уровня автомобиля.

Основная функция полиции, военных, разных мутных подразделений в униформе — стоять на дороге, останавливать таксистов, грузовики и собирать с них дань.

В пробках не останавливайтесь вплотную к следующей машине, оставляйте впереди место, достаточное для объезда, если ситуация вдруг изменится и придется делать ноги. В машине или пешком, старайтесь не передвигаться с хорошими суммами денег, аппаратурой, держите их в офисе, где более безопасно.

Не «светите» своим десятым Айфоном (Самсунгом, Ксаоми, Хуавеем etc) вообще не показывайте, что у вас есть фирменный смартфон, довольствуйтесь кнопочным дешевым аппаратом. Это не гарантия от хищения, кнопочный тоже с удовольствием украдут, имейте их несколько про запас. Держите копию всех паролей, ключей и контактов в офисе. Не носите открыто золотые украшения и дорогие брендовые сумочки.

Если вас грабят

Если пришлось встретиться с грабителем, не конфликтуйте, просто отдайте, что просят. Не геройствуйте, пытаясь его отговорить или задержать, он не хочет быть сожженным и сделает все, чтобы нанести максимальный урон вашей жизни, чтобы вырваться. Ваша жизнь ему стоит дешевле, чем добыча — телефон. Среди грабителей много наркоманов, которые не чувствуют опасности и границ.

Избегайте посещать мутные районы, даже если вас пригласили местные. Они не всегда смогут обеспечить вашу безопасность.

Не выходите из дома в темное время суток, в Африке это после 18 часов, темнеет быстро.

Фотографирование

Большинство африканцев ревностно относятся, если белые публично их снимают на камеру. Они считают, что снимки потом дорого продаются в журналы, и их бесит упущенная выгода. В сказки про забирание душ они давно не верят.

Фотографировать безопасней из едущего автомобиля, когда впереди свободная дорога и объекты съемки не успевают подорваться и собрать камни.

Если установить личный контакт, заинтересовать отдачей фотографий, то фотосъемка проходит намного веселей и безопасней. Вас будут приглашать в семьи, в дома, чтобы пофотографировать.

Между собой африканцы не устраивают драмы из-за съемки. Мордокнига и инстаграм ломятся от фоток их личной жизни тех, кто смог осилить покупку китайского смартфона и подключиться к 3G.

Фотографирование военных, полицейских, зданий госучреждений, любых памятников — общепризнанное табу. Но имеет те же корни — горечь об упущенной выгоде. Если погуглить аккаунты соцсетей этих славных военных, то они полнятся тоннами якобы запрещенных снимков.

Будьте внимательны, смотрите вокруг

Видите, что на вашем пути скопление народа, разворачивайтесь. Скорей всего, там дорожное происшествие, идет расправа (вместе с ограблением) над нерадивым водителем. Вы тоже можете попасть под раздачу, т.к. на вашей машине похожий стикер с именем организации и вы заодно с виновником.

Стали свидетелем серьезного ДТП с жертвами-африканцами — быстро проезжайте. Не пытайтесь остановиться и оказать помощь — вас сделают виновником и повесят все расходы на лечение, если отвезете тело в больницу.

Избегайте ездить через дороги, вдоль которых действуют рынки. Там движение затруднено, возможно нападение с целью похищения людей.

Наоборот, вариант, когда на улицах странно тихо и пусто для обычного дня. Лавки закрыты, таксистов нет. Местные лучше вас чувствуют ситуацию в городе и скорей всего что-то затевается — манифестация, погромы, уличное шествие. Вам не по пути.

Во время жизни там старайтесь чаще связываться с коллегами и друзьями, чтобы быть в курсе последних событий в городе и не попасть в передрягу. Полезно иметь всеволновый приемник и слушать радиообмен международных гуманитарных организаций, которые обычно тщательно мониторят ситуацию в городе и держат в курсе своих сотрудников.

Безопасность жизни в черной Африке — неисчерпаемая тема. Универсальных советов не существует, в каждой стране свои особенности. Надеюсь, вам эти советы не пригодятся в жизни.

10 советов по безопасности для защиты вашего сайта от хакеров

Вы можете думать, что ваш сайт не имеет смысла взламывать, однако веб-сайты постоянно находятся под угрозой взлома.

Большинство взломов веб-сайтов не преследует цели украсть ваши данные или нарушить работу сайта. Они направлены на использование вашего сервера для рассылки спама или временного использования веб-сервера для хранения файлов, обычно нелегального содержания.

Взломы постоянно производятся автоматизированными скриптами, написанными специально, чтобы прочёсывать интернет и пытаться взломать сайты, имеющие известные дыры в программном обеспечении.


Вот 10 наших советов, которые помогут вам сохранить ваш сайт в безопасности:

01. Обновляйте программное обеспечение

Это может показаться очевидным, но регулярное обновление программного обеспечения жизненно важно для поддержания безопасности вашего сайта.

Это относится как к операционной системе сервера, так и к любому программному обеспечению, которое используется на вашем сайте, такому как CMS или форум. Когда обнаруживаются дыры в безопасности программного обеспечения, хакеры быстро пытаются воспользоваться этим.

Если ваш сайт располагается на хостинге, тогда вам не стоит беспокоиться о своевременной установке обновлений для операционной системы, так как хостинговая компания должна заботиться об этом самостоятельно.

Если вы используете программное обеспечение сторонних производителей на вашем сайте, вроде CMS или форума, убедитесь, что вы устанавливаете обновления системы сразу после их выхода.

Большинство производителей ПО имеют рассылку или RSS канал с описанием проблем безопасности веб-сайтов. WordPress, Umbraco и многие другие CMS уведомляют вас о доступных обновлениях при входе в административную часть сайта.

02. SQL-инъекции

При атаке посредством SQL-инъекции атакующий использует поле веб-формы или параметр URL, чтобы получить доступ к вашей базе данных или манипулировать данными.

Когда вы используете стандартный Transact SQL, то возможно незаметно вставить мошеннический код в ваш запрос так, что он может быть использован для изменения таблиц, получения информации или удаления данных.

Вы можете легко предотвратить это, всегда используя параметризированные запросы.

Большинство языков веб разработки поддерживают эту возможность.

Если злоумышленник изменит параметр URL на ‘ or ‘1’=’1, это приведёт к тому, что запрос примет следующий вид:

Так как ‘1’ равен ‘1’, атакующий получит доступ ко всем данным таблицы. Также это позволит ему добавить дополнительный запрос в конец выражения SQL, который будет выполнен наряду с исходным.

03. XSS

Межсайтовый скриптинг заключается в том, что атакующий пытается передать JavaScript или какой-либо другой код в веб-форму, чтобы выполнить вредоносный код на вашем веб-сайте.

При создании формы всегда проверяйте данные, которые к вам приходят от пользователей, и кодируйте или маскируйте любые спецсимволы.

Читать еще:  Код безопасности 2

04. Сообщения об ошибке

Будьте осторожны с количеством информации, которое вы выдаёте в ваших сообщениях об ошибке. Например, если у вас есть форма для входа на ваш веб-сайт, вы должны обдумать сообщение, которое вы выдадите пользователю в случае неудачной попытки авторизации.

Вы должны использовать общие фразы, вроде « Неправильное имя пользователя или пароль », и не указывать, в чём именно пользователь ошибся.

Если злоумышленник пытается подобрать имя пользователя и пароль, а сообщение об ошибке выдаёт, что одно из полей было верным, тогда он может сконцентрироваться на оставшемся поле, что упрощает его задачу:

05. Проверка форм на стороне сервера

Проверка форм всегда должна производиться как на стороне браузера, так и на стороне сервера. Браузер может проверить простые ошибки, вроде незаполненного обязательного поля или текста, введённого в поле, требующее ввода числа.

Однако эти проверки могут быть обойдены, и вы должны проверять эти условия также и на стороне сервера. Отсутствие подобной проверки может привести к вставке вредоносного кода в вашу базу данных или нежелательным результатам работы веб-сайта.

06. Пароли

Все знают, что нужно использовать сложные пароли, но это не значит, что люди всегда так делают. Критически важно использовать сложные пароли к вашему серверу и блоку администрирования веб-сайта, но не менее важно требовать от ваших пользователей использования сложных паролей к их аккаунтам.

Несмотря на то, что пользователи этого не любят, принудительные требования к паролям, такие как минимальная длина не менее восьми символов, включение в состав пароля символов в верхнем регистре или цифр, поможет им, в конечном счёте, сохранить их информацию.

Пароли всегда должны храниться в зашифрованном виде, лучше всего с использованием алгоритма одностороннего хэширования, например SHA. При использовании этого метода для авторизации пользователей вы просто сравниваете зашифрованные значения.

Для дополнительной защиты можно использовать « соль » для паролей, при этом добавляя новую «соль» к каждому паролю.

В случае если веб-сайт будет взломан и злоумышленник получит данные с паролями, хранение хэшированных паролей поможет снизить ущерб, т.к. потребуется их дешифрование. Лучшее, что может сделать злоумышленник в этом случае – это атака по словарю или атака перебором, то есть проверка всех возможных комбинаций, пока не будет найдено совпадение.

При использовании «соли» в паролях, процесс взлома большого количества паролей становится ещё медленнее, т.к. каждый вариант должен быть хэширован отдельно для всех комбинаций пароль + « соль », что требует больших вычислительных затрат.

К счастью, большинство CMS предоставляют инструменты управления пользователями со многими встроенными системами безопасности, хотя для использования « соли » или установки минимальной сложности пароля может потребоваться некоторая альтернативная настройка или дополнительные модули.

Если вы используете .NET, тогда стоит использовать провайдеры членства, т.к. они имеют множество настроек, предоставляют встроенную систему безопасности и включают в себя готовые элементы для входа в систему и изменения пароля.

07. Загрузки файлов

Предоставление пользователям возможности загружать файлы на ваш веб-сайт может быть связано с большим риском в плане безопасности, даже если речь идёт просто о смене аватара. Риск состоит в том, что любой загруженный файл, как бы безобидно он ни выглядел, может содержать скрипт, который при выполнении на вашем сервере открывает доступ к вашему сайту.

Если у вас на сайте есть форма загрузки файла, тогда вам нужно относиться ко всем загружаемым файлам с подозрением. Если вы позволяете пользователям загружать изображения, то при определении типа файла, вы не можете полагаться на расширение или mime-тип, так как они легко могут быть подделаны.

Даже открытие файла и чтение его заголовка или использование функций проверки размера изображения не являются стопроцентной гарантией безопасности. Большинство форматов изображений позволяют хранить комментарии, которые также могут содержать код PHP, который может быть выполнен на сервере.

Так что же вы можете сделать, чтобы предотвратить это? Обычно вам нужно запретить исполнение загружаемых файлов пользователями.

По умолчанию веб серверы не пытаются выполнять файлы с расширениями изображений, но не рекомендуется полагаться исключительно на расширение файла, так как известны случаи, когда файл « image.jpg.php » обходил эту проверку.

Вот некоторые варианты решения проблемы: переименование файла при загрузке, чтобы удостовериться в корректности разрешения; изменение разрешений для файла, например на chmod 0666 , чтобы он не мог быть выполнен.

В *nix системах вы можете создать файл .htaccess (смотрите пример ниже), который откроет доступ только к заданному множеству файлов, что исключит возможность атаки с двойным расширением, упомянутой ранее:

Однако, рекомендуемое решение – полностью исключить прямой доступ к загружаемым файлам. При этом любые файлы, загружаемые на ваш веб-сайт, хранятся в папке вне корня сайта или в базе данных как большие двоичные объекты ( BLOB ).

Если ваши файлы недоступны напрямую, вам потребуется создать скрипт (или обработчик HTTP в .NET), чтобы извлекать их из закрытой папки и выдавать браузеру.

Тэги img поддерживают атрибут src , который в данном случае не будет являться прямым URL-адресом изображения, а будет указывать на скрипт извлечения файла. Также не забудьте указать в скрипте корректный HTTP заголовок content-type .

Большинство хостинг провайдеров производит необходимые настройки сервера за вас, но если ваш веб-сайт работает на вашем собственном сервере, тогда есть ещё несколько вещей, которые вам нужно проверить.

Убедитесь, что у вас настроен межсетевой экран, и он блокирует несущественные порты. Если это возможно, настройте DMZ (демилитаризованную зону), открыв доступ из внешнего мира только к портам 80 и 443. Хотя, это может быть невозможно, если вы не имеете доступа к вашему серверу из локальной сети, так как в этом случае вам придётся открыть порты, позволяющие загружать файлы и удалённо управлять вашим сервером через SSH или RDP.

Если вы позволяете загрузку файлов из интернета, используйте защищённые методы передачи, такие как SFTP или SSH.
Если это возможно, выделите отдельный сервер под базу данных, отличный от веб-сервера.

При этом сервер базы данных не будет напрямую доступен из внешнего мира, только ваш веб сервер сможет получить доступ к нему, тем самым минимизируя риск кражи ваших данных.

Наконец, не забудьте ограничить физический доступ к вашему серверу.

09.SSL

SSL – это протокол, использующийся для обеспечения безопасности при передаче данных по сети интернет. Это хорошая идея использовать сертификат безопасности каждый раз, когда вы передаёте персональную информацию между клиентом и веб сервером или базой данных.

Злоумышленники могут прослушивать канал связи и, если он не безопасен, перехватить пересылаемую информацию и использовать её для получения доступа к аккаунтам и персональной информации пользователей:

10. Инструменты проверки веб-сайтов

Когда вы уже думаете, что сделали всё возможное, настало время протестировать систему безопасности вашего сайта. Наиболее эффективный способ сделать это – использовать инструменты проверки сайтов, также известные как тесты на проникновение или pen-тесты.

Для этого существует множество коммерческих и бесплатных продуктов. Они работают по схожей со скриптами хакеров схеме, используя все известные эксплойты и пытаясь взломать ваш сайт одним из описанных выше способов, например, при помощи SQL-инъекции.

Вот некоторые бесплатные инструменты:

  • Netsparker (доступна бесплатная пробная версия). Подходит для тестирования на SQL-инъекции и XSS
  • OpenVAS . Позиционирует себя как наиболее совершенный сканер системы безопасности с открытым кодом. Подходит для тестирования на известные уязвимости, на данный момент проверяет более 25000.

Но он сложен для установки и требует наличия сервера OpenVAS, который работает только под *nix .

OpenVAS – это разновидность системы Nessus до того, как последняя стала коммерческим продуктом.

Результаты автоматизированных тестов могут быть пугающими, так как они показывают все разновидности потенциальных угроз. Важным моментом является работа в первую очередь над критическими замечаниями.

К каждой выявленной проблеме прилагается хорошее объяснение потенциальной угрозы безопасности. Вы, скорее всего, решите, что некоторые средне- и малоопасные уязвимости не представляют угрозы для вашего сайта.

Если вы хотите пойти дальше, тогда есть и ещё некоторые действия, которые вы можете предпринять, попытавшись вручную взломать ваш сайт, изменяя значения POST/GET запросов.

Здесь вам может помочь debugging proxy (прокси-сервер отладки), так как он позволяет вам перехватывать значения HTTP запросов на участке между вашим браузером и сервером. Популярное бесплатное приложение, которое называется Fiddler , подойдёт для начала.

Так что же вам стоит попробовать изменить в запросе? Если у вас есть страницы, которые должны быть доступны только авторизованным пользователям, тогда я бы попробовал изменить параметры URL, такие как ID пользователя или значения cookie, чтобы попытаться выдать себя за другого пользователя.

Другая возможная область тестирования – формы. Изменяйте значения POST , чтобы попробовать отправить межсайтовый запрос или загрузить серверный скрипт:


Мы надеемся, что наши советы помогут вам содержать сайт и информацию на нём в безопасности.

К счастью, многие CMS имеют достаточно встроенных инструментов защиты, но всё равно неплохо знать о наиболее популярных угрозах безопасности, чтобы быть уверенным, что вы от них застрахованы.

Также существуют некоторые полезные модули CMS для проверки вашей системы на наиболее частые уязвимости.

Среди них Security Review для Drupal и WP Security Scan для WordPress.

Ссылка на основную публикацию
Adblock
detector