אבטח מידע באתרי אינטרנט
מדובר בנושא רגיש. אנחנו בונים מערכות שמסייעות לעסק שלנו או של לקוחותינו.
החל מאתר תדמית פשוט עם טופס הרשמה ומונה של אנשי הקשר החדשים ועד מערכות גדולות עם הזמנות של מוצרים, כרטיסי טיסה, מנויים וכדומה.
עדכונים, מה מטרתם ולמה הם חשובים?
בניית אתרים הוא תחום דינמי מאוד – עדכונים רבים מתבצעים בכל כלי העבודה – לדוגמא עדכון גרסאת PHP או עדכון של וורדפרס וכדומה הינם נושאים שכיחים במיוחד.
המטרה בעדכון הוא למצוא, או שכבר מצאו דברים שאינם פועלים בצורה הכי טובה או שניתן לשפרם בגרסאות קודמות ובכך להקל על תהליכי הפיתוח, לאבטח בצורה טובה יותר, להקשות על האקרים בכך שתחום הפריצה שלהם כל הזמן משתנה וכמובן גם בסופו של דבר, באופן עקיף בדרך כלל, ליצור ללקוח מוצר טוב יותר עם צד לקוח מהיר ודינמי יותר.
הבעיה
הבעיה היא פשוטה. לא כל כך קל לעמוד בעדכונים ולעדכן את האתרים והמערכות בפועל.
וישנן לא מעט סיבות. תחשבו על זה, יש לכם סוס מנצח שכבר עובד ומביא פרנסה ומכניס גולשים לאתר או למערכת על בסיס קבוע. אתם הייתם נוגעים ואילו בדבר הקטן ביותר בו?
אני מאמין שהייתם מאססים ורק ובמידה וממש חייב הייתם אולי בסוף משתכנעים שכדאי.
בנוסף, עדכוני מערכות עלולים לשאת עלויות פיתוח, זמני עבודה, תכנון מחדש של מערכות מסויימות ולפעמים אפילו פיתוח כולל מחדש לגמרי – כמו למשל מעבר מפיתוח באמצעות jQuery למעבר לפיתוח מבוסס AngularJS או AngularJS2 וכדומה. בקצרה, AngularJS יעילה בהרבה בגלל שפיתחו אותו בעקבות דברים שלא היו זמינים או שהיו זמינים אבל לא ברמה טובה ויעילה ב-jQuery ולפיכך חוסכת זמן אדיר למפתח המערכת ובו בזמן גם מייעלת את תהליך העבודה ומאפשרת ליצור מערכות דינמיות, מהירות וטובות יותר.
הבעיה האמיתית
מה שכתוב בפסקה הקודמת בתכלס זה רק הקושי לעבור לגרסאות מתקדמות וטכנולוגיות טובות יותר, אבל הבעיה האמיתית היא האקרים ואבטחת מידע למערכות.
כשמערכת אינה מעודכנת או לחלופין בנוייה בצורה לא הכי טובה, כך עולה הצורך לעדכן אותה ולאבטח אותה אפילו מחדש. דבר שעולה כאמור לא מעט כסף וזמן.
כשאנחנו בונים אתר אינטרנט או מערכת כלשהי עלינו לזכור כלל חשוב במיוחד:
עדיף שיהיה מאובטח ויעלה לנו אפילו מעט יותר מהבסיס בעבור פיתוח מערכת אבטחה איכותית מאשר שיפרצו מערכת ואז נשלם על כך ביוקר. דרך אגב, אלו דברים שמומלץ להסביר ללקוח ואולי אפילו לחייב אותו בתשלום נוסף בעבור אבטחה גבוהה יותר.
בצעו איפיון אבטחה מסודר
איך אתם מאבטחים אתר?
אתם צריכים צ׳ק ליסט שבו יש את כל סוגי הפריצות שאתם מכירים. הצ׳קליסט חייב להיות חכם ולהתעדכן כל הזמן עם הניסיון שלכם במערכות דומות, עם קריאה באינטרנט וכדומה.
האם אתם מאפיינים את אבטחת המערכת כמו שאתם מאפיינים את האתר עצמו?
ובכן, כמו שמומלץ לאבטח אתר אינטרנט כך מומלץ לאבטח את אלגוריתם האבטחה במערכת שלכם.
עבדו עם גיבויים בלתי תלויים
האקר פרץ לכם את המערכת בכל מקרה?
נו זה דבר שהוא שגרתי ועלול לקרות לכל מערכת ואתם צריכים כבר להיות מוכנים וערוכים עוד מטרם עת. האמת שעיקר בדבר האבטחה הוא היכולת להגיב מהר (להעלות לאוויר בחזרה) ולשחזר נתונים כמה שיותר טריים. לפיכך, גיבויים הם חלק בלתי נפרד מאבטחה ועלינו לגבות אותם בשרת נפרד חיצוני שהיה וכאשר האקר פורץ למערכת עצמה הוא לא יכול ״להחזיק״ אותנו ולבקש בסחיטה תשלום כלשהו, אנחנו מעיפים אותו מהמערכת ומשחזרים גיבוי ודואגים לאבטח פעם נוספת את הדרך בה הוא פרץ למערכת.
סיכום
- לפני שאתם בונים מערכות הכינו מערך גיבויים בלתי תלוי.
- בצעו איפיון אלגוריתם אבטחה מיד לאחר איפיון האתר באופן קבוע לכל מערכת.
- תמיד תשאפו לכך שהמערכות שלכם יהיו מעודכנות כמה שרק ניתן.
טיפ אישי שלי: אם הלקוח לא מסוגל לשלם על אבטחה גבוהה יותר ומדובר בפרוייקט גדול שאתם מבינים שדורש את זה, אל תכנסו לפרוייקט מלכתחילה או לחלופין ידעו אותו בצורה ברורה בכך שאבטחה גבוהה, בשונה מאבטחה רגילה, אינה כלולה בתשלום.
כדאי לקרוא: אחסון אתרים
Comments are closed.