Internet/E-business hjælp div.

Svar: Hvordan gør jeg min hjemmeside hacker-sikker?

Niels.M — Sun, 09 Mar 2014 10:56:16 GMT

Dan Storm:
. Kan du henvise til eller selv give en redegørelse for hvorfor et HTTPS site skulle være mindre udsa?t

Hej Dan

Teknisk set har det ingen virkning nej, andet end at hvis man altid bruger SSL, er man ikke udsat for "man in the middle angreb". Det er ihvertfald sådan jeg ser det, faktum er bare, at robotterne ikke går ud og laver https kald/brute force til eksempelvis /wp-login.php og andre sjove ting (endnu), det er ihvertfald det som jeg kan se i de logfiler jeg har haft adgang til. Et site jeg var involveret i, var meget plaget af dette, og efter at vi defaultede sitet til https forsvandt problemet. Igen, dette er kun indtil robotterne tager højde for dette.

/Niels

Svar: Hvordan gør jeg min hjemmeside hacker-sikker?

Dan Storm — Sun, 09 Mar 2014 10:34:26 GMT

Niels.M:
En ting du kan overveje, er at kode dit site så det udelukkende kører under SSL. Det gør ikke dit site mere sikkert fra et kodehensyn, men det forhindrer (pt) de fleste robotter i at angribe dit site (som jeg ser det).

Som du selv siger vil det absolut ingenting løse. Hvordan du ser på tingene, har jo ikke noget at gøre med hvad der er rigtigt. Kan du henvise til eller selv give en redegørelse for hvorfor et HTTPS site skulle være mindre udsa?t

Niels.M:
De fleste robotter, som jeg ser det, er endnu ikke så avancerede at de kan finde ud af at lave en SSL forbindelse. Muligt jeg tager fejl, men det er der sikkert nogen der ved mere om end jeg. Hvad siger eksperterne?

Det er ikke nogen kompliceret sag at forbinde til HTTPS.

Svar: Hvordan gør jeg min hjemmeside hacker-sikker?

Niels.M — Sun, 09 Mar 2014 09:33:07 GMT

linnegaard:
eller har I et andet bud på en god løsning?

Hej Linnegaard

En ting du kan overveje, er at kode dit site så det udelukkende kører under SSL. Det gør ikke dit site mere sikkert fra et kodehensyn, men det forhindrer (pt) de fleste robotter i at angribe dit site (som jeg ser det). De fleste robotter, som jeg ser det, er endnu ikke så avancerede at de kan finde ud af at lave en SSL forbindelse. Muligt jeg tager fejl, men det er der sikkert nogen der ved mere om end jeg. Hvad siger eksperterne?

SSL har også den fordel, at hvis du sidder på en åben forbindelse og tilslutter dit sites admindel, er denne del krypteret imellem din browser og dit site.

/Niels

Svar: Hvordan gør jeg min hjemmeside hacker-sikker?

Dan Storm — Sun, 09 Mar 2014 07:59:46 GMT

Det at sikre sine web applikationer mod sårbarheder er naturligvis et spørgsmål om både erfaring og kompetencer.

Når det er sagt, så skal man jo også huske på at "af skade bliver man klog". For at du kan få erfaringen og kompetencerne, er det vigtigt at du opdager og forstår dine sårbarheder og kan formå at få dem elimineret.

En god idé ville være at hyre en freelancer/virksomhed til at lave en test af din applikation direkte målrettet eventuelle sikkerhedshuller. Få en rapport over resultatet og forsøg at bearbejde resultatet, så du sikrer din web applikation bedst muligt. Alternativt kan du også hyre en til at gennemgå dit website ud fra rapporten og hjælpe dig med at forstå hvordan de forskellige ting skal løses.

Svar: Hvordan gør jeg min hjemmeside hacker-sikker?

Adam Touhou — Sun, 09 Mar 2014 00:13:12 GMT

Hej.

Kan du give nogle links til de sider du har fået hacket?

husk altid at sanitize (rense) POST og GET inputs i forbindelse med database håndtering.

Læs evt. her:

http://dk1.php.net/mysql_real_escape_string

på denne måde kan du undgå mysql injections.

Derudover så husk altid at kontrollere på server-side, (f.eks. i PHP koden) istedetfor blot Javascript kontrollering, da det er client sided og nemt kan slås fra.

Sørg for at have korrekt chmod på dine filer og mapper, og evt. uploads scripts skal du også kontrollere.

Er det pga. du ikke har gjort det første jeg nævnte (mht. database? ) eller har du brugt moduler og plugins? i så fald kan det være at exploiten er der.. :-)

Svar: Hvordan gør jeg min hjemmeside hacker-sikker?

Carsten Kvist — Sat, 08 Mar 2014 23:49:35 GMT

Mikkel Mikjær Christensen:
No offense ... en "rigtige" webudviklere kan finde ud af at lave sikre websites ... misforstå mig nu ikke, det er fedt at du er kommet til den konklusion at du ikke selv har kompetencerne til at sikre dit arbejde - men det ér altså et spørgsmål om kompetencer, eller mangel på samme.

Ikke kun - Slet ikke.... Det er også et spørgsmål om at kende, og have kontrol over, det miljø du kører i.

Hvad fa.... hjælper en sikker PHP side, hvis ikke du kan være sikker på fortolkeren?

Svar: Hvordan gør jeg min hjemmeside hacker-sikker?

linnegaard — Sat, 08 Mar 2014 23:25:44 GMT

Tak for dit gode svar

Svar: Hvordan gør jeg min hjemmeside hacker-sikker?

linnegaard — Sat, 08 Mar 2014 23:24:26 GMT

Tak for dit grundige og dybdegående svar

Svar: Hvordan gør jeg min hjemmeside hacker-sikker?

Nikolaj Dam Larsen — Sat, 08 Mar 2014 23:15:25 GMT

En smule paranoia er en god idé her. Jeg mindes at have hørt en historie om en programmør, som kodede et af de mest brugte e-mail programmer (til Linux mener jeg), der tog paranoia til et helt nyt niveau. Intet i hans program stolede på noget som helst andet - ikke engang moduler som var en del af programmet selv. Alle argumenter til alle funktioner blev kontrolleret hver gang, for at sikre at kun forventede oplysninger fik lov til at komme igennem.

Du behøver ikke gøre det så ekstremt, men som Mikkel skriver, så er det en god start ikke at stole på noget som helst der kommer fra http requesten. Sørg for at bruge parameteriserede queries til databasen, og kontroller hver parameter for ugyldige tegn. Der findes en masse smart i PHP til det allerede - det gjorde der ihvertfald da jeg selv kodede PHP for nogle år tilbage. Sørg for at hashe alle adgangskoder du gemmer i databasen. Beskyt dig mod cross-site request forgery. Ja, der er en masse kendte typiske sårbarheder, som du absolut bør kende til, og kende løsningen på i dit valgte programmeringssprog. Alt sammen kan slås op på f.eks. Google eller i bøger henvendt til web sikkerhed.

Hvis du virkelig vil være god til at sikre dig, så ville det være rigtigt godt at lære de teknikker at kende, som hackere bruger, til at skaffe sig adgang til dine websider. Hvis du har nogle kammerater, som også programmerer, kan det være en fordel at sætte sig sammen og lave en lille konkurrence ud af at bryde ind i hinandens systemer. På den måde får i en masse god øvelse i at finde huller. Der findes også mange gode kilder på nettet omkring dette og det er også muligt at finde kurser i det rundt om i landet.

Jeg er desuden enig i Mikkel i at en web udvikler altså godt kender de mest basale teknikker til at lave sikre web applikationer, så jeg ville nok droppe den betegnelse indtil videre. Vær også opmærksom på, at laver du websider for andre, så kan du være ansvarlig for tab som følge af usikkerheder i det software du har udviklet.

Med venlig hilsen
Nikolaj

Svar: Hvordan gør jeg min hjemmeside hacker-sikker?

linnegaard — Sat, 08 Mar 2014 22:59:29 GMT

Svar: Hvordan gør jeg min hjemmeside hacker-sikker?

Remy — Sat, 08 Mar 2014 22:47:08 GMT

Hvis det er sket for dig flere gange betyder det måske at du ikke selv skal lave det

Svar: Hvordan gør jeg min hjemmeside hacker-sikker?

Mikkel Mikjær Christensen — Sat, 08 Mar 2014 20:53:33 GMT

linnegaard:
Jeg er web-developer

linnegaard:
har lavet mange hjemmesider i PHP, der er blevet hacked.

No offense ... en "rigtige" webudviklere kan finde ud af at lave sikre websites ... misforstå mig nu ikke, det er fedt at du er kommet til den konklusion at du ikke selv har kompetencerne til at sikre dit arbejde - men det ér altså et spørgsmål om kompetencer, eller mangel på samme.

Hvis jeg skulle gøre din side sikker ville resultatet sikkert være at skrive en stor del af det om, på sigt kan det simpelthen ikke betale sig at bruge dårlige webkodere - så jeg vil bestemt anbefale dig at arbejde på selv at lære at sikre dine sider. Måske hyre en dygtigere programmør end dig selv til at hjælpe med at gennemgå noget af din kode.

Men kort og godt så er der et par simple regler:

- Stol aldrig på brugerens input, du skal kontrollere alt input og sikre dig at det ser ud som du forventer og _aldrig_ sende input fra brugere videre i form af f.eks. databasekald tilgang af filer eller system kommandoer.

- Upload af filer ... sørg for at tjekke de filer brugeren uploader er det format du ønsker.

- Brug en sikker webhost, privilegie seperation og krypteret fil-upload er et must.

- Sørg for at fil-rettighederne er sat fornuftigt op.

Og så kan du jo også prøve "How to secure php webpages" på google :-)

Svar: Hvordan gør jeg min hjemmeside hacker-sikker?

Anonymous — Sat, 08 Mar 2014 20:47:57 GMT

Hej Kasper

Det er ikke fedt at blive hacke men det er jo ikke nåde du 100% kan komme unden om. Men til at start med er det måske en ide og se på sikkerhede i dit script samt valt af oplysninger.

Men hvis du ønsker det kan jeg godt se lidt på din sikkerhed.. smid en pb til mig..

Hvordan gør jeg min hjemmeside hacker-sikker?

linnegaard — Sat, 08 Mar 2014 20:43:17 GMT

Hej Amino
Jeg er web-developer, og har lavet mange hjemmesider i PHP, der er blevet hacked.
Hackerne har flere gange trængt igennem mine login, og har fået adgang til mit hjemmelavet adminsystem.
Kender I noget firma, der er specificeret i at gøre hjemmesider hacker-sikkert, eller har I et andet bud på en god løsning?
På forhånd tak
MVH Kasper