2015-09-07
304
Повинна існувати чітка політика у визначенні того, який тип інформації є відкритим, до якої інформації слід обмежити доступ і яка інформація не повинна публікуватися в публічно доступному репозиторії.
Слід гарантувати захист web-вмісту від неавторизованого доступу або модифікації.
Повинна існувати певна політика, що гарантує неможливість модифікації без виконання авторизації. Потрібно забезпечити гарантію цілісності, навіть якщо інформація не є конфіденційною. Необхідно захищати вміст web за допомогою виконання відповідного управління ресурсами web-сервера. Деякі приклади управління ресурсами включають:
· інсталяція тільки необхідних сервісів;
· інсталяція web-вмісту на виділеному жорсткому диску або у виділеному розділі;
· можливість виконувати запис (uploads) тільки в директорії, які не є читаною з web-сервера, а доступні по деякому іншому протоколу (наприклад, ftp);
· визначення єдиної директорії для всіх скриптів або програм, які виконуються для створення web-вмісту і є зовнішніми по відношенню до web-серверу;
|
|
|
· заборона використання жорстких або символічних посилань у файловій системі ОС, на якій виконується web-сервер;
· створення матриці доступу до web-вмісту, яка визначає, які каталоги і файли усередині директорії web-сервера мають обмеження по доступу;
· заборона перегляду директорії у файловій системі;
· використання аутентифікації користувачів за допомогою цифрових підписів і інших криптографічних механізмів;
· використання систем виявлення проникнень, заснованих на хості і /або перевірки цілісності файлів, для виявлення проникнення і перевірки цілісності web-вмісту.
Слід використовувати активний вміст тільки після ретельного зважування отримуваних при цьому переваг порівняно із збільшенням ризиків.
Спочатку більшість web-сайтів представляли статичну інформацію, розташовану на сервері, зазвичай у формі текстових документів, що мають відповідну розмітку (HTML). Надалі вводилися різні інтерактивні елементи. На жаль, ці інтерактивні елементи вносять нові уразливості, оскільки вони припускають пересилку певного роду інформації як від web-сервера до клієнта для виконання на стороні клієнта, так і від клієнта до web-серверу для обробки інформації на стороні сервера. Різні технології створення активного вмісту мають різні уразливості, які повинні бути оцінені порівняно з отримуваними перевагами.
