Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hoe maak je de veiligste website

21-06-2012, 13:48 door Anoniem, 15 reacties
Ik zit al een tijdje te denken hoe ik de zeer veilige website zou kunnen maken.
Nu zullen jullie misschien denk waarom nou omdat ik het zeer interessant vind :)
Om te beginnen dacht ik ( even afgezien hoe de webserver ingesteld is ) om enkel plaatjes te gebruiken
en die via image map aanklikbaar te maken, wat is jullie idee hier over ?
Reacties (15)
21-06-2012, 14:38 door regenpijp
De beveiliging van een website is een combinatie van verschillende maatregelen, was het maar zo simpel dat met 1 functie heel je website veilig was. Ik zou zeggen begin met het leren zoeken naar kwetsbaarheden op CertifiedSecure.com of laat iemand je website testen op kwetsbaarheden, aangezien wij verder niet weten wat er op je website draait en hoe je je server verder hebt ingesteld.
21-06-2012, 14:40 door Anoniem
Alleen statische HTML zou veilig genoeg moeten zijn. Dus geen dynamische content.
Het enige dat dan nog onveilig kan zijn is de webserver zelf, maar de website niet.
21-06-2012, 14:50 door Whoops
Door Anoniem: Hoe maak je de veiligste website
Je moet eerst bedenken welke functionaliteit de website moet hebben.
Bouw een minimalistische website met alleen de hoognodige functionaliteit.

Door Anoniem: Om te beginnen dacht ik ( even afgezien hoe de webserver ingesteld is ) om enkel plaatjes te gebruiken en die via image map aanklikbaar te maken, wat is jullie idee hier over ?
Een statische website met alleen platte tekst (HTML, CSS, enz) is natuurlijk het meest veilig.
Voor plaatjes moet je meer bestanden toegankelijk maken op de server, daarmee meer kans op lekken.
Dynamische pagina's veroorzaken nog meer potentiële veiligheidsproblemen.
Statische websites zijn echter in 99% van de gevallen niet toereikend.
Ik ken weinig websites zonder database / formulier / dynamische content / zoeken / enz.
Hoe meer code / bestanden / databases des te meer kans op lekken.
21-06-2012, 15:25 door Anoniem
Checklists van Certified Secure gebruiken!

www.certifiedsecure.com/checklists/
21-06-2012, 15:28 door BaseMent
Denk niet alleen aan de code voor je pagina maar ook aan het systeem waarom je website draait. Dus het OS en de HTML server software en mogelijk andere website die ook op hetzelfde systeem draaien. Zit daar een lek en wordt de host gecompromitteerd, zijn de andere sites ook de klos.
En in mindere mate moet je misschien ook denken aan de host als de webwerver een virtueel systeem is.
En als je echt niemand vertrouwd, denk dan ook aan de locatie waar dat systeem staat.

En wat je niet gebruikt kan ook niet gekraakt worden (php, mysql enweetikwatnietmeerallemaal).
Hou het dus zo plat mogelijk.
21-06-2012, 15:50 door StevenStip
rare vraag, hoe minder functionaliteit hoe minder kans op security issues. Veiligheid wordt normaalgesproken opgedeeld in 3 delen, beschikbaarheid (kun je bij je data), integriteit (klopt de data), vertrouwelijkheid (wie kan er bij de data en wie kan er niet bij). Het gaat er in eerste instantie om wat je wil voorkomen.
Alleen maar plaatjes lijkt me niet nodig en dit maakt maatregelen tegen een DOS aanval moeilijker te implementeren. Een statische site, zo min mogelijk input van de gebruiker vragen is in de regel iets wat wel goed werkt.
21-06-2012, 16:27 door SirDice
Door Whoops: Een statische website met alleen platte tekst (HTML, CSS, enz) is natuurlijk het meest veilig.
Er van uitgaande dat de webserver zelf geen bugs bevat ;)

Voor plaatjes moet je meer bestanden toegankelijk maken op de server, daarmee meer kans op lekken.
Het maakt voor een webserver geen bal uit of 't nu 100 HTML bestanden zijn, 100 JPG bestanden of een combinatie.
21-06-2012, 16:30 door regenpijp
Door SirDice:
Door Whoops: Een statische website met alleen platte tekst (HTML, CSS, enz) is natuurlijk het meest veilig.
Er van uitgaande dat de webserver zelf geen bugs bevat ;)

Of te wel misconfiguratie, zoals Anonymous FTP, open relay, default/zwakke wachtwoorden, etc.
21-06-2012, 16:59 door [Account Verwijderd]
[Verwijderd]
21-06-2012, 17:18 door [Account Verwijderd]
[Verwijderd]
21-06-2012, 19:19 door Anoniem
Om te beginnen dacht ik ( even afgezien hoe de webserver ingesteld is ) om enkel plaatjes te gebruiken
en die via image map aanklikbaar te maken, wat is jullie idee hier over ?
Dan vergeet je aan toegankelijkheid voor slechtzienden te denken. Niet doen.

Als je het trouwens met plaatjes af kan handelen dan heb je het kennelijk over een website met statische inhoud, gewoon HTML+CSS+afbeeldingen dus. Voor een imagemap heb je ook al HTML+afbeeldingen nodig, dus dat maakt qua beveiliging niet uit. Daar heb je geen PHP of andere server-side dynamische technieken voor nodig, geen content management systeem (wat dynamische technieken voor statische inhoud zou gebruiken in jouw geval), er hoeft geen database achter te ziten. Als je dat soort dingen wel nodig hebt dan begrijp ik niet waarom je met enkel plaatjes uit de voeten denkt te kunnen.

Wil je toch een CMS gebruiken omdat dat nou eenmaal makkelijker voor je is, dan zou je die op een website kunnen draaien op je interne netwekr, niet van buiten toegankelijk. Met een mirror-tool kan je dan een kopie van statische HTML maken en die publiceren, zodat er op de publieke website geen CMS meer meedraait. Welk CMS je dan het beste kan gebruiken daar ben ik niet in thuis. Ik denk dat je er een moet zoeken die niet overdreven zwaar op client-side JavaScript steunt maar waar waar hyperlinks gewoon ouderwetse HTML-hyperlinks zijn, dat maakt het aanzienlijk makkelijker om er via HTTP een mirror van te maken.
22-06-2012, 16:48 door Anoniem
De zin "Guns dont kill people, people kill people" gaat ook op voor het maken van veilige websites.

Hobbybob die een site bouwt voor 100 euro zal weinig aandacht besteden aan veiligheid.

Dus alle bovenstaande reacties over frameworks en weet ik veel allemaal zijn ook overbodig want als je een slechte programmeur bent dan zit er altijd wel een foutje in je site.

En plaatjes? Wat dacht je van bandbreedte, neem nu.nl, bijna alleen maar text. Als je deze om zou zetten naar een plaatje ben je minstens twee keer zolang aan het wachten.

Gebruik gewoon je verstand. Lees over eerder gemaakte fouten op oa. deze site en neem dat mee tijdens de ontwikkeling van je website. Zo simpel is het.
25-06-2012, 09:44 door StevenStip
Prima opmerking hierboven, dit is volgens mij wel wat de essentie van het beveiligen van een website is.

Echter is de onderstaande opmerking misschien niet helemaal correct. Iemand die een site voor 100 euro bouwt zal waarschijnlijk geen webapplicatie in java/.NET maken en wanneer er php gebruikt zak worden zijn dit naar alle waarschijnlijkheid geen zelf geschreven stukken maar gewoon beproefde(gekopieerde) elementen.
De meeste incidenten met betrekking tot websites zitten in de intelligentie van een site. Wanneer je een site heel slim wil maken en wil laten verbinden met vanalles en je met databases werkt en verschillende gebruikersrechten dan zijn dit allemaal potentiele lekken.(allemaal relatief aan hoe goed het geupdate en afgeschermd is natuurlijk) Bij het veilig maken van een site houdt je in de gaten dat je zo min mogelijk onnodige intelligentie gebruikt. De beste manier om je tegen sql injectie te beschermen bijvoorbeeld is gewoon geen database gebruiken.

Zelfs wanneer je een slechte programmeur(webdesigner) hebt kan er nog weinig fout gaan als je een simpele html pagina hebt en een up to date hoster.
Door Anoniem:
Hobbybob die een site bouwt voor 100 euro zal weinig aandacht besteden aan veiligheid.

Dus alle bovenstaande reacties over frameworks en weet ik veel allemaal zijn ook overbodig want als je een slechte programmeur bent dan zit er altijd wel een foutje in je site.
02-07-2012, 17:41 door Anoniem
Door Hugo: [schaamteloze spammodus]
Een veilige website maak je met behulp van een veilig framework: http://www.banshee-php.org/. Deze host je dan natuurlijk op een veilige webserver: http://www.hiawatha-webserver.org/
[/schaamteloze spammodus]

Biedt die nu ook php via cgi aan waar onlangs zo een reusachtig gat voor was gevonden?

http://www.hiawatha-webserver.org/howto/cgi_wrapper
http://blog.sucuri.net/2012/05/php-cgi-vulnerability-exploited-in-the-wild.html

Zo ja dan haak ik af...
02-08-2012, 19:42 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.