Magyar
English
-
Recent posts
Tags
adatbiztonság Android Budapest Sportiroda DooPhp email Facebook Running Google Application Engine hibavadászat Java Konferencia lza futás Macintosh magento Maraton mikrovállalkozás OpenCart osCommerce phpunit segédletek SEO Tanácsadás Design patterns trükkök Ultrabalaton Vi Virtuemart Webshop Zend úszásArchives
- November 2019 (1)
- October 2019 (3)
- November 2018 (1)
- June 2018 (1)
- February 2018 (1)
- January 2018 (1)
- April 2015 (1)
- October 2014 (2)
- June 2014 (1)
- April 2014 (3)
- March 2014 (1)
- December 2013 (2)
- November 2013 (1)
- October 2013 (1)
- September 2013 (1)
- July 2013 (1)
- June 2013 (3)
- May 2013 (1)
- December 2012 (2)
- October 2012 (1)
- June 2012 (1)
- May 2012 (1)
- April 2012 (1)
- March 2012 (1)
- February 2012 (2)
- January 2012 (6)
- November 2011 (3)
- October 2011 (2)
- September 2011 (4)
- August 2011 (1)
- July 2011 (5)
- June 2011 (2)
- May 2011 (5)
- March 2011 (3)
- February 2011 (1)
- January 2011 (2)
- December 2010 (4)
- November 2010 (7)
- October 2010 (3)
- September 2010 (5)
- August 2010 (4)
- July 2010 (6)
- June 2010 (3)
- May 2010 (7)
- April 2010 (5)
- March 2010 (1)
- February 2010 (5)
- January 2010 (4)
-
Meta
-
Milyen a biztonságos a webáruház?
A személyes adatok védelme a 2018-as évben kiemelt jelentőségű Európában, ami az új európai általános adatvédelmi szabályozásnak köszönhető. Az európai uniós szabályozás az üzleti célból tárolt, az unióban élő magánszemélyek személyes adatainak védelmére vonatkozik, függetlenül az adatkezelés helyétől. Ha valaki jogosulatlanul hozzájut például a vásárlók adataihoz, akkor 2018 májusától az európai adatvédelmi szabályozás szerint kell eljárnia, illetve a kockázati szintnek megfelelő védelmet kell biztosítania, ellenkező esetben komoly mértékű pénzbüntetésre számíthat. Számos további kérdés is felmerül bennem a rendelettel kapcsolatban, amely magyar nyelven innen érhető el.
Az adatvédelem nem feltétlenül egy adott alkalmazásra vonatkozik, hanem egy konkrét szervezetre és a teljes folyamatait érinti, amit át kell vizsgálni és fel kell mérni a kockázatokat. A biztonság, mint témakör örökérvényű és mindig szükség lesz rá, mindig kell vele foglalkozni függetlenül a hatályban lévő szabályozásoktól. Fontos kiemelnem, hogy nem vagyok sem biztonságtechnikai szakértő és a jogi szakterületen sem vagyok járatos, viszont a téma iránt érdeklődöm, mivel a jelentősége úgy gondolom elég nagy. Egy adott webáruház tulajdonosa egy kereskedelmi tevékenységet végző vállakozás. A kereskedelem egyik alapja a bizalom. Ha alapjaiban rendül meg a vásárlók bizalma azáltal, hogy nem az elvárható biztonsági szintet biztosítja az áruház akkor lehet-e hosszú távon sikeres a működése?
Ahhoz, hogy ismerjük a védelmi lehetőségeket, ismerni kell mindenekelőtt a támadási módszereket és a sebezhetőségi felületeket. Mi magunknak is támadókká kell válnunk de nem a károkozás szándékval, hanem azért, hogy ezt az ismeretet felhasználva megfelelően fel tudjunk rájuk készülni és meg tudjuk előzni.
A webáruházak kereskedelmi tevékenységet folytatnak és a tranzakcióik során a vásárlásokhoz kapcsolódó személyes adatokat gyűjthetnek, tárolhatnak. A támadók célpontjai lehetnek ezek a személyes adatok, mint például a tárolt jelszavak, email címek, bankkártyaadatok, közösségi oldalak címei, hozzáférései, céljuk lehet az adott kereskedelmi oldal megbénítása, adatok törlése, megszerzése, szándékos károkozás vagy zsarolás, üzleti haszonszerzés miatt. Az adott oldalra érkező forgalom elterelése egy másik oldalra. A motivációk között szerepelhet egy adott célra való felhívás, figyelemkeltés, illetve az áruházban szereplő pénzügyi adatok manipulációja is. Az adatokon kívül az adott szerver erőforrásait is felhasználhatják úgy, hogy erről a szerver tulajdonosa tudomást sem szerez. Egy feltört szerverről további támadásokat lehet indítani bármelyik másik gépre, vagyis a mi szerverünk fog látszódni, mint elkövető úgy, hogy erről fogalmunk sincs. Használhatják a “lopott” szerver erőforrásait mondjuk a mostanában divatos kriptopénzek bányászatára is de a lehetőségek tárháza szinte végtelen. Tehetik mindenzt a tudomásunk nélkül, a mi kárunkra. A legtöbbet a már eddig megvalósult támadásokból, illetve elkövetések módjaiból tanulhatunk. Mivel a technológia folyamatosan fejlődik, újabb és újabb támadási lehetőségek, módszerek látnak napvilágot, amelyek egyre kifinomultabb módokon valósulnak meg.
A webáruházak védelme egyrészt attól függ, hogy milyen környezetben vannak feltelepítve és milyen infrastruktúrában működnek. Önmagában a biztonság is több rétegben valósul meg, a rendszer különböző szintjein, ezért maga a biztonság kialakítása, megteremtése egy összetettebb feladat. Az alkalmazás szintjén lévő biztonsági hibák gyakran előfordulhatnak, mert a biztonsági előírásoknak való megfelelés általában nem célja a fejlesztéseknek. Sokkal inkább a megvalósítandó funkciókra fókuszálnak, mivel a gyorsaság és a megfelelő időben kitett új funkciók piaci előnnyel bírnak. Ha egy szabadon letölthető áruházat veszek alapul, amihez bárki fejleszthet bármit és bárki telepíthet bármilyen ismeret nélkül bármit, ki és mi garantálja azt, hogy biztonságosan fog működni a telepítés/élesítés után? Mi alapján mondják ki, hogy biztonságos az adott webáruház, valaki elvégzi az időszakos felülvizsgálatot? Időszakos, mivel a biztonság egy pillanatnyi állapot és folyamatos felülvizsgálatra, ellenőrzésre, auditra van szükség ahhoz, hogy megyőzödjünk róla.
Egy nemzetközi információ biztonsági szakértőkből álló csoport kidolgozta a Common Criteria nevű, biztonságos szoftver fejlesztéssel kapcsolatos módszertant, amely 2009-ben 15408-as azonosítószám alatt ISO/IEC szabvánnyá vált. Az iránymutatás szerint az adott szoftver biztonságának alapjait már a tervezési időben ki kell alakítani. A lépéseket a következőkben határozza meg:
A Common Criteria szerves és elválaszthatatlan része az értékelési módszertan CEM (Common Evaluation Methodology) (ISO/IEC 18045), amely meghatározza azt a folyamatot, amit az auditornak végre kell hajtania a biztonsági kritériumok ellenőrzése során.
A webes alkalmazások fejlesztéseit az OWASP (Open Web Application Security Project) útmutatás alapján kell elkészíteni, majd sérülékenység vizsgálatot kell végezni rajta. A következő támadási típusok, biztonsági rések potenciális veszélyt jelenthetnek minden internetes alkalmazásnál, így a webáruházaknál is:
Laikus vásárlóként gyanakodhatunk, hogy biztonsági szempontból nem kellően felkészült az adott oldal, ha:
Webáruház tulajdonosként pedig szintén tisztában kell lennünk, hogy mennyire biztonságos a saját áruházunk. Önmagában például az SSL certificate megléte még nem jelenti azt, hogy az adott webáruház vagy oldal biztonságos, így a helytelenül beállított tanúsítvány is biztonsági kockázatot hordoz magában. Egyszerűen meg tudunk róla győződni, ha az erre szolgáló ingyenesen elérhető eszközzel leellenőrizzük, ami elérhető innen. Számos ismert külföldi nagyvállalat időszakosan egy bizonyos összeget elkülönít a biztonsági felülvizsgálatokra és felderítésekre. Inkább a probléma elé megy és fizet azért, ha valaki egy sebezhetőséget talál az adott rendszerében, így mindenki jól jár és a kár bekövetkezésnek a valószínűségét is csökkenti egyben. Esetleg már a több évtized alatt felépített márkája jó hírnevét megőrizheti és az ügyfeleinek a bizalmát is erősítheti egyben.
This entry was posted in Webshop and tagged Webshop. Bookmark the permalink. Both comments and trackbacks are currently closed.