2015-09-07
396
Разом із забезпеченням безпеки програмного середовища (див. попередній розділ), найважливішим буде питання про розмежування доступу до об'єктів Web-сервіса. Для вирішення цього питання необхідно з'ясувати, що є об'єктом, як ідентифікуються суб'єкти і яка модель управління доступом - примусова або довільна - застосовується.
У Web-серверах об'єктами доступу виступають універсальні локатори ресурсів (URL - Uniform (Universal) Resource Locator). За цими локаторами може стояти різна суть - HTML-файли, CGI-процедури і тому подібне
Як правило, суб'єкти доступу ідентифікуються по IP-адресам і/або іменах комп'ютерів і областей управління. Крім того, може використовуватися парольна аутентифікація користувачів або складніші схеми, засновані на криптографічних технологіях (див. наступний розділ).
У більшості Web-серверів права розмежовуються з точністю до каталогів (директорій) із застосуванням довільного управління доступом. Можуть надаватися права на читання HTML-файлів, виконання CGI-процедур і так далі.
Для раннього виявлення спроб нелегального проникнення в Web-сервер важливий регулярний аналіз реєстраційної інформації.
|
|
|
Зрозуміло, захист системи, на якій функціонує Web-сервер, повинен слідувати універсальним рекомендаціям, головним з яких є максимальне спрощення. Всі непотрібні сервіси, файли, пристрої повинні бути видалені. Число користувачів, що мають прямий доступ до сервера, повинне бути зведене до мінімуму, а їх привілеї - впорядковані відповідно до службових обов'язків.
Ще один загальний принцип полягає в тому, щоб мінімізувати об'єм інформації про сервер, яку можуть отримати користувачі. Багато серверів у разі звернення по імені каталога і відсутності файлу index.HTML у нім, видають HTML-варіант змісту каталога. У цьому змісті можуть зустрітися імена файлів з початковими текстами CGI-процедур або з іншою конфіденційною інформацією. Такого роду “додаткові можливості” доцільно відключати, оскільки зайве знання (зловмисника) умножає печалі (власника сервера).
ВИКОРИСТАННЯ КРИПТОГРАФІЇ В ЗАХИСТІ WWW-СЕРВЕРІВ
При обговоренні цілісності повідомлень, аутентифікації користувачів і конфіденційності використовуються деякі базові поняття: ключі, криптографія, підписи і сертифікати. Нижче стисло викладені основи криптографії. За докладнішою інформацією звертайтеся в розділ Ресурси, де міститься посилання на довідник по криптографії, який можна безкоштовно завантажити.
