1. Место возможной утечки информации.
Так вот,
как уже возможно понятно даже начинающим, данные с определенного
компьютера можно получить с помощью т.н. cookie («куки» в
простонародье), а также путем перехвата данных запросов (хотя в
принципе это один и тот же механизм, т.к. «куки» передаются в точности
также как и информация в POST-данных.
Способ предотвращения:
Для
предотвращения передачи нежелательных данных POST-методами следует
четко контролировать т.н. «скрытые поля», содержащиеся практически в
любой современной web-странице. Отличить их среди остальных довольно
просто: они имеют атрибут hide. С «куками» несколько сложнее, вы можете
не увидеть их в коде страницы (код страницы можно посмотреть
практически во всех современных браузерах, в IE это делается, к
примеру, щелчком правой кнопки мыши по самой странице – (ВНИМАНИЕ!: не
по какой-нибудь картинке, а именно по странице, и выбором в контекстном
меню пункта "Просмотр HTML-кода"). Однако все браузеры имеют механизм
ограничения и запрещения работы с cookie. Так что если вы полностью
доверяете сайту, с которым в настоящее время работаете, разрешите ему
использовать «куки», если же нет - то запретите или включите механизм
подачи запроса для каждого отправляемого cookie (да, не просто,
придется очень часто отвлекаться на выбор, но все же...). Кроме того,
необходимо контролировать содержание строки состояния браузера (ее,
конечно можно обмануть, но все же упускать из вида не стоит). Там, где
выводиться адрес ссылки, которая находиться в настоящий момент в фокусе
операционной системы (специально не акцентирую внимание на windows, ибо
все, что я здесь попытаюсь осветить в равной степени будет относиться
ко всем операционным системам, за исключением может быть 1- 2 пунктов,
о которых я обязательно выскажусь поподробнее), а также за адресной
строкой самого браузера, подозрительно длинная строка адреса (точнее
данных), особенно на не заслуживающем доверия сайте должна, по-крайней
мере, привлечь интерес и желание посмотреть ее содержимое. 2. Проблема – спамеры.
Вряд
ли кому-то очень нравиться, когда ящик просто заваливают всяческими
предложениями по удлинению полового члена и сужению анального
отверстия. А откуда спамеры берут ваши адреса? Не задумывались? Да
оттуда же, из Интернета родимого.
Один из способов профилактики:
Вместо
текстово-HTML-ных ссылок вставляйте в информацию на вашем сайте не ваш
e-mail, а графическую картинку с изображением обозначающей его надписи.
Для удобства пользователей, пользующихся вашим сайтом, можно даже
придумать несложный скрипт, который будет позволять проводить операцию
копирования (вдруг кому-то захочется занести ваши данные в адресную
книгу и т.п.). Суть проста: те скрипты, которые применяют спамеры для
поиска адресов в сети, в большинстве своем используют методику поиска
по регулярным выражением, т.е. символосочетаниям, содержащим
определенные символы (например, «что-то@что-то.два-три_любых_символа»),
естественно, что картинку с надписью эти скрипты не увидят и
запустивший их спамер не получит ваш e-mail. 3. Проблема сокрытия IP.
Итак,
можно прикрыть «куки», можно контролировать скрытые поля, можно
избавиться от спама. Однако те субъекты, которым очень интересна
информация из вашего компьютера (особенно если она очень для них ценна)
не будут ограничиваться только методами, работающими с этими данными.
Для них станет очень важна не только информация в вашем компьютере, но
и информация о вас лично и вашем личном компьютере, т.е. та информация,
которую они смогут добыть методами социальной инженерии (о них много
написано различных статей, большинством своим поверхностного
содержания, которые якобы любого прочитавшего их превращают в
супер-крутого хакера).
Отвлекаясь несколько от темы, могу выразить
свое мнение, что методы социальной инженерии, несомненно, играют свою
роль и до сих пор, но отнюдь не ведущую, в современном мире сферы
контроля за информацией все-таки главенствующее место я бы отвел
процессу мышления в сфере информационных сетевых технологий, т.к.
только этот процесс может действительно привести к каким-либо
сколь-нибудь положительным конечным результатам.
Итак, как я уже
сказал, не исключено, что вас соберутся серьезно "ломать" или "хачить"
(это уж как кому нравиться). И в первую очередь постараются узнать под
каким IP (ай-пи - цифровой идентификатор компьютера в сети) в настоящее
время работает Ваш компьютер. Время dual-up соединений все-таки
постепенно остается в прошлом, ему на смену приходит время скоростных
соединений (очень часто постоянных), что, в свою очередь, подразумевает
постоянный IP адрес, выданный вашему компьютеру провайдером (или
сервером сети) при соединении. Именно этот IP, представляющий собой
комбинацию четырех десятичных чисел в диапазоне от 0 до 255 и будет
интересовать "нехороших" субъектов. К чему может привести то, что
кто-либо, из недобрых побуждений, узнает Ваш IP не буду. Это не та
тема. Но сокрыть во многих случаях я его очень даже советую.
Как это победить:
А
победить эту беду, друзья мои, не так уж и тяжело. Главное разобраться
в некоторых мелочах и проникнуться основной идеей. Итак, методик
существует много.
Одна из них заключается в работе через, так
называемые, прокси-сервера. Что делают прокси-сервера при работе "через
них". А все просто: браузер вашего компьютера связывается не с ресурсом
напрямую, а с прокси-сервером, который зачастую (и это правильно и
должно так быть, по моему разумению вопроса) находиться совершенно на
другом компьютере (и даже, возможно, на другом конце света), и вот уже
прокси-сервер связывается с ресурсом в интернете, определяет некоторые
параметры страницы, на которую через него обращается Ваш браузер, и
если не находит похожих параметров у себя (в своей "копилке"), то
закачивает вашу страницу в эту самую "копилку" (суть этой закачки в
том, что уж коли вам вздумается закрыть браузер, а потом, понять что
забыли глянуть какую-либо важную деталь на ресурсе или информацию
какую-нибудь, Вы же вновь откроете браузер и пойдете на тот же ресурс,
а он вряд ли за эти пару-тройку минут изменит свое содержание и
прокси-сервер, через который Вы снова этот ресурс посещаете, опять же
свяжется со страничкой, определит ее параметры и, сравнив с имеющимися
в "копилке", поймет, что страница вовсе не изменилась за это время и
незачем ему ее заново выкачивать, достаточно лишь просто перенаправить
ваш браузер к этой самой "копилочке" - результат - экономия трафика для
прокси-сервера) и потом передает его в ваш браузер. Весь фокус тут в
том, что некоему злодею, наличия которого мы не исключаем, даже при
удачно завершенном процессе добывания IP достанется не ваш IP, а IP
прокси-сервера, через который Вы посетили данную страницу. Может, он
(прокси-сервер) и пострадает от хакерской атаки, но вероятнее, что нет,
но ваша цель - сокрытие IP - достигнута.
Еще один способ -
использование так называемых маршрутизаторов (роутеров). Что такое
маршрутизаторы - это компьютеры (есть, конечно, и аппаратные
маршрутизаторы, это не компьютеры уже, а специальные сетевые
устройства, которые выполняют общем-то ту же функцию, которую я опишу),
в которых работает специальная программа, которая (в свою очередь)
определяет какому пакету (а вся информация передается от компьютера к
компьютеру, так называемыми, пакетами - уж не взыщите коли грамотные,
если это могут читать и не сильно посвященные люди - так уж устроен
язык - протокол TCP/IP, на котором эти чудо-машины компьютеры общаются)
и от какого компьютера, куда и на какой компьютер идти. Суть в
следующем: ваш компьютер (браузер) будет связываться с этим
маршрутизатором, на котором должна быть проведена соответствующая
задаче настройка, чтоб пакеты с вашего компьютера шли только на те
адреса, куда им положено и никуда иначе, а пакеты, которые идут к
вашему компьютеру из вне, будут пропускаться только от тех машин (иначе
говоря, с тех IP адресов), которые определены в настройке роутера
(маршрутизатора, т.е.). Напоследок скажу, что это тоже не панацея, но
все же есть резон в применении этого способа для профилактики.
Существует
и еще один метод, т.н. NAT (Network Address Translation - перевод
сетевых адресов). Суть проста как сибирский валенок. Есть компьютер, на
котором установлено NAT. И если какой пакет проходит, то это NAT, то в
зависимости от его вида (входящий он, или исходящий, по протоколу TCP
пришел или по какому другому - энтих протоколов люди понавыдумывали
столько…) направляет его на другие компьютеры - один вид на один,
другой - на другой и т.д., значит, как в настройках у него прописано.
Очень часто NAT и роутер совмещают как два в одном, а еще бывает и
нередко прокси-сервер к ним прибавлен (локальный прокси-сервер
используется для ускорения загрузки web-страниц и экономии трафика).
Так вот, если уж NAT этот настроен как надобно, то, даже прорвавшись
без прокси-сервера в Интернет, вы «засветите» не свой IP, а другой -
той машины, где этот NAT установлен.
Есть и программное обеспечение
такое, с функциями прокси-сервера, роутера и NAT. И под windows они
есть, и под unix (linux) и ему подобных. Настраивать их довольно
просто, главное, проникнуться вселенским спокойствием и уверенностью в
себя.
4. В закрытые двери войти трудно.
А что за двери
такие? А это т.н. порты, только не те порты, которые в смысле большие
портки (как дети малые и старики носят) и не морские или речные порты,
а сетевые порты. Что такое порт – это, скажем, если какая-то
программа работает на компьютере и ожидает какого-либо подключения из
вне к ней, для обмена данными, то она прослушивает (анализирует) все
входящие пакеты с определённого для её работы порта, и если пакет
содержит в себе определенный идентификатор, соответствующий тому какой
ей и нужён, то она начинает перерабатывать эти пакеты и действовать
соответственно своим задачам. Ясно… понятно, что это программка может
быть не только полезной и выполняющей вам необходимые функции, но и
вредоносной. К таковым и относиться довольно много шпионских программ.
Вот как тут быть:
Суть
в чем? Да в том, что если Вы знаете, что на вашем компьютере есть
программы, которые ожидают соединения по определенному порту (браузер,
почтовый клиент или другие какие), то эти порты должны быть открыты, а все остальные для пущей безопасности (вашей же) закрыть нужно.
Закрыть их довольно таки просто тем же самым средством NAT (смотри
выше). Который позволяет не только изменить адрес IP, но и, при
соответствующих настройках, произвести перенаправление пакетов идущих
на один определенный порт в совершенно другом "направлении" или же не
пропустить их вообще.
Другой способ - это применить так называемый
файрвол. Существует целое семейство таких программ, которые для этой
задачи и созданы, чтоб на один и тот же компьютер, но на разные порты
пришедшие, одни пакеты проходили до "получателя", а другие - нет.
Настроить опять же не сложно, главное - понять что требуется. 5. Шпионская программа - реальная угроза утечки информации.
Существуют
такие программы, которые при попадании на компьютер ждут момента, когда
будет установлено соединение с сетью Интернет, и обнаружив его,
начинают быстренько перекачивать, на определенный в их коде адрес,
какую-либо информацию, которая может быть интересна владельцу этого
адреса. Программы такие троянами народ обозвал, сравнивая их с
"троянским конем". Некоторые ошибочно именуют эти программы вирусами,
однако же, они в корне отличаются от последних (как и чем пока
останавливаться не буду).
Борьба со шпионами:
Да
методы общем-то те же. Файрволл (который все-таки не так уж и трудно
настроить) и антивирусы (хоть трояны к вирусам в полной мере отнести и
нельзя, но антивирусные программы, все-таки, с большинством из них
успешно борются).
Так вот. Идеально бы использовать для обеспечения
своей полной конфиденциальности оба метода, т.е. и антивирус и
файрволл. Объясню это на примере: бывает, развлекаюсь от скуки я,
иногда, следующим образом - придет, например, мне письмо от некоей Кати со ссылочкой на какой-нить её ресурс (мол, фото там мои, давно тебе
показать хотела), уж и понимаю я, что вранье это всё, но уж больно
охота посмотреть и я прикроюсь файрволом (будто одеялком), антивирус
включу (коли не включен) и лезу, значит, на ресурс этот. Естественно,
сразу же антивирус мне выдает сообщение (депешу, так сказать), что
определенный вполне вирус пытается ко мне пробраться и я его,
соответственно, в коллекцию к себе сразу же отправляю, коллекционирую
их, значит. Так вот однажды, друзья, все было точно также, только не
нашел антивирус никого (а письмецо было со вложением - .reg файл,
запустить его надо было). Ну, посмотрел я содержимое, вроде безобидные
строчки в реестр добавляет, ладно пес с ним, пусть себе добавляет, не
ругается же антивирус. Затем куда-то отлучался (запамятовал уже, по
какой надобности), ну и компьютер выключил (перезагрузка, значит, место
имела). Ну, неймется мне и все, вот чует заднее место, что не так
что-то, и решил я в файрвол заглянуть, и впрямь - появились "открытые"
порты, вернее, открытыми они бы были если бы файрвол не стоял, весь
компьютер пролазил вдоль и поперек, с образами сравнивал, долго сидел -
не появилось ни одного лишнего файла, только реестр изменился. Значит,
вывод сделал для себя простой - каким-то образом эти записи в реестре
создают открытые порты средствами windows. Естественно, что антивирус
не воспримет такое положение дел опасным, так как открытый порт - это
еще не вирус и не троян. Вот вам и польза от применения файрвола. Можно
еще развить тему и рассказать о самих вирусах (ибо они тоже все-таки
угроза безопасности личной информации), но суть то все одно сведется
именно к тем же способам. Добавлю только, что есть еще так сказать и
профилактика подобных неприятностей - элементарная "гигиена" работы в
сети - не зачем читать письма от «неизвестных Кать», особенно если в
этих тонкостях не разбираешься. 6. Интернет-магазины, электронные кошельки и прочий сервис, который защитить нужно.
Существуют
такие сервисы, которые просто должны работать с конфиденциальной
информацией, т.к. на то они и созданы. Естественно, что существует
проблема защиты этой самой информации, чтоб другим не досталось то, что
по праву принадлежит хозяину (т.е. Вам, в частном случае). А охотников
за этой информацией немало и выловить ее уж совсем не хитро (сам
немного этим баловался, грешен, но да небеса милостивы, к тому же я с
благими намерениями творил). Выловив эту информацию, всяки разумный
человек (неразумный и выловить не сможет) почерпнет из нее столь важные
данные с помощью которых сможет легко и без напряжения потратить все
денежки на счете вашем (поймаете вы его или нет, это уже второй вопрос,
неприятен будет сам факт хищения).
Обеспечьте хотя бы минимальную безопасность:
Вообще,
большинство информации передается в Интернете по протоколу HTTP. Это
довольно несложный "язык" передачи данных, перехватив пакеты которого,
можно получить эти самые данные. Вот и придумали умные головы HTTPS
(Hyper Text Transfer Protocol Secure - защищенный протокол передачи
гипертекста). Суть его в том, что вся информация в пакетах закодирована
специальным образом и даже получив ее, закодированную, злоумышленник не
сразу сможет получить исходный текст, алгоритм шифрования довольно
надежен. Поэтому практически все современные ресурсы, работающие в
сфере, оплачиваемых через Интернет, услуг, используют для общения с
браузерами клиента именно такой протокол. При этом адрес не меняется,
меняется только префикс, вместо http://www.что-то.com необходимо
набирать https://www.что-то.com.
Не буду останавливаться на том, что
в настоящее время имеют место подмены ресурсов. Вкратце только опишу
суть: например, существует ресурс, скажем, www.что-то.com, по его
образу и подобию злоумышленник может создать ресурс www.что-та.com.
Одна ошибка в адресной строке, или переход по присланной, якобы от
вашего сервиса, ссылке и Вы попадаете прямиком на ловушку,
расставленную каким-нибудь интернет-охальником. Вводите там свои
данные, авторизируетесь, получаете сообщение о том, что сервис временно
закрыт, успокаиваетесь и идете отдыхать. А в это время, злодей, прыгая
от радости, авторизируется на настоящий сайт с вашими данными и
начинает над вами куражиться и насмехаться. Вот и все.
Некоторые
сервисы имеют поддержку клиента он-лайн или по электронной почте. При таком общении,
постарайтесь обзавестись сертификатом безопасности с сайта вашего
сервиса (если уж сервис достойный, то этот сертификат он вам
предоставит при первом же посещении, установить его в ваш компьютер не
составит никакого труда). А для общения по электронной почте, очень
даже рекомендую, обзавестись «электронной подписью» и потребовать такой
же подписи в письмах от администрации, например, интернет-магазина,
услугами, которого пользуетесь (можете спокойно требовать, клиент
всегда, в данном случае прав, а если Вам откажут - то уходите (только
не туда куда послали, туда всегда успеете) в другой магазин, вам там
будут только рады). Суть «сертификата безопасности» в том, что если вы
его имеете в своем компе, браузер уведомляет вас, что в данный момент
Вы используете этот сертификат и, соответственно, находитесь на
требуемой Вам странице, а если Вам подсунули подложную – то,
соответственно, Вы этого уведомления не получите или же получите
противоположное уведомление, что сертификат недействителен (это уже
зависит от браузера). Суть «электронной подписи» в том, что если Вашу
переписку и перехватит злоумышленник (а сделать это, поверьте, не так
уж и трудно), то, даже изменив его и отправив Вам, результата он не
достигнет, т.к. Вы получите письмо, цифровая подпись которого сообщит
вам, что оно было изменено и решать достоверно его содержимое или нет
только Вам (на свой страх и риск). Маленькое дополнение для начинающих о создании системы авторизации пользователя:
Несмотря
на название, описанный ниже прием можно использовать не только для
систем авторизации, но и для хранения прочей информации, требующей
определенный уровень защищенности от посторонних глаз.
Суть в
следующем - не секрет, что для организации этой самой авторизации
следует иметь некоторую базу данных, где будут храниться определенные
данные, идентифицирующие пользователя в системе (на сайте или еще
где-нибудь). Какими должны быть эти данные должен решать только
создатель. Нельзя сказать, что храниться должен только логин и пароль.
Нет и еще раз нет. Храните что угодно и сколько угодно, вплоть до
размеров какого-либо органа. Главное как хранить. А хранить я бы
порекомендовал следующим образом с использованием так называемого MD5
шифрования. Алгоритм MD5 хотя и является довольно распространенным,
однако, в полной своей мере обеспечивает надежное шифрование
информации. Настолько надежное, что читал я статейку одну (где уже
сказать не могу, читал и все) о том, что 2 довольно очень мощных (в
современном понимании вопроса) компьютера пытались расшифровать
какую-то информацию, закодированную при помощи MD5. Опыт сей
продолжался не один год (сколько точно не помню, но больше года это
точно) и результата не достигли, т.е. результат-то был, но
ОТРИЦАТЕЛЬНЫЙ. Так вот, при первом запросе данных от пользователя (при
его регистрации), полученные данные надо тут же зашифровать и хранить
их уже в таком виде. При процедуре авторизации пользователя, полученные
при посылке запроса пользовательские данные надо обработать тем же
алгоритмом (MD5) и затем сравнить с хранящимися в базе данных. Если не
ошибаюсь, то windows (NT и выше) использует этот алгоритм как один из
альтернативных для шифрования паролей пользователей. Ну а сколько
web-ресурсов используют MD5, тут уж и сказать трудно. Самая прелесть
его в том, что зашифровать очень просто, а вот расшифровать... вряд ли.
Поэтому и получается, что проще спросить заново, зашифровать и сравнить
с тем, что есть…
Источник: http://www.ironhorse.ru |
