Issuu on Google+


Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji. Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli. Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce. Autorzy: Leszek Kępa, Paweł Tomasik, Sebastian Dobrzyński Redaktor prowadzący: Barbara Gancarz-Wójcicka Projekt okładki: Jan Paluch Fotografia na okładce została wykorzystana za zgodą Shutterstock.

Wydawnictwo HELION ul. Kościuszki 1c, 44-100 GLIWICE tel. 32 231 22 19, 32 230 98 63 e-mail: onepress@onepress.pl WWW: http://onepress.pl (księgarnia internetowa, katalog książek)

Drogi Czytelniku! Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://onepress.pl/user/opinie/bezsec Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję. ISBN: 978-83-246-3873-4 Copyright © Helion 2012 Printed in Poland.

• Kup książkę • Poleć książkę • Oceń książkę

• Księgarnia internetowa • Lubię to! » Nasza społeczność


SPIS TRECI

PRZEDMOWA

1.

2.

3.

4.

9

WSTP

15

Podstawowe informacje o e-commerce Czego chc cyberprzestpcy? Podstawy bezpieczestwa

18 21 24

PRAWO WOBEC E-COMMERCE

33

Jakie prawo dotyczy e-handlu? Regulamin serwisu wiadczc usugi drog elektroniczn Przetwarzanie danych osobowych Zawarcie umowy midzy stronami O czym naley informowa Kodeks spóek handlowych Prawo wobec cyberprzestpców

34 37 54 57 60 65 72 72

BEZPIECZESTWO OGÓLNE

77

Informacje o systemie Zapasowe kopie danych

78 82

BEZPIECZNY HOSTING

89

Hosting czy wasny serwer? DirectAdmin

89 90

ZABEZPIECZENIA SERWERA WWW

97

Zabezpieczenia hosta Zabezpieczenia Apache

Kup książkę

98 102

Poleć książkę


6

5.

6.

|

BEZPIECZESTWO SYSTEMU E-COMMERCE

Konfiguracja PHP Zabezpieczenie kodu PHP Przegldanie logów Obsuga komunikatów 403, 404 etc. Zabezpieczanie plików konfiguracyjnych Tripwire Obrona przed atakami DoS — Fail2ban

108 116 117 118 119 120 122

BAZA DANYCH

125

Poczenie z baz Szyfrowanie danych

128 130

BEZPIECZNA TRANSMISJA DANYCH

133

Dlaczego warto szyfrowa? Szyfrowanie komunikacji webowej A jeli nie ma szans na SSL? Komunikacja przez e-mail Administrowanie poprzez sie Integralno danych podczas transmisji

7.

8.

9.

136 137 153 154 156 159

IDENTYFIKACJA STRON W BIZNESIE

165

Wiarygodny sprzedawca Zidentyfikowany uytkownik

166 168

KONTA I HASA

177

Data wprowadzenia danych Hasz zamiast hasa Provisioning — zakadanie konta Cookies Sesje w aplikacji Sprawdzanie, czy poczenie odbywa si „po SSL” Autoryzacja transakcji

177 179 184 185 189 195 196

ZABEZPIECZENIA KODU APLIKACJI

197

Specyfika jzyka Jak przesya dane — GET czy POST? Walidowanie danych przesyanych do serwera Zabezpieczenia przed automatami

198 198 201 208

Kup książkę

Poleć książkę


SPIS TRECI

SQL injection File inclusions Ataki XSS Ataki CSRF i XSRF HTTP_REFERER Badanie kodu PHP

10. KODOWANIE DANYCH

|

7

212 222 226 230 232 233

235

ZAKOCZENIE

239

O AUTORACH

240

Kup książkę

Poleć książkę


8

|

BEZPIECZESTWO SYSTEMU E-COMMERCE

Kup książkę

Poleć książkę


Rozdzia 2.

BEZPIECZESTWO OGÓLNE

Wspomnielimy ju wczeniej, e zagadnienie bezpiecze stwa systemu e-commerce jest zoone. Skada si na nie: x bezpieczestwo fizyczne serwerów, na których znajduje si aplikacja, serwer WWW, baza danych itd.; x zabezpieczenie systemów operacyjnych, w których s zainstalowane aplikacja, serwer WWW i baza danych; x takie bezpieczestwo transmisji, aby danych w trakcie przesyania nikt nie podsucha ani nie zmieni; x bezpieczestwo serwera DNS i domeny — to, eby nikt nie ukrad „nazwy internetowej” serwisu ani nie przekierowa ruchu do innego, podrobionego systemu; x bezpieczestwo aplikacji, a wic takie jej utworzenie, aby nie mona byo ni manipulowa; x cigo dziaania, tj. takie zorganizowanie systemu i uzyskanie takiej jego odpornoci, aby nawet mimo ataku móg on dalej funkcjonowa lub wznowi aktywno; x bezpieczestwo organizacyjne, czyli procesy zwizane z administrowaniem aplikacj, zarzdzanie zmianami i wszystko to, co jest dookoa systemu, a ma na niego (znaczcy) wpyw; x bezpieczestwo prawne, a wic zarzdzanie stanem zgodnoci z prawem.

Kup książkę

Poleć książkę


78

|

BEZPIECZESTWO SYSTEMU E-COMMERCE

Tutaj chcemy przedstawi najogólniejsze zagadnienia zwizane z bezpieczestwem systemu e-commerce.

INFORMACJE O SYSTEMIE Zapewne nieraz si zastanawiae, jak to si dzieje, e haker w kocu „dopada” okrelon witryn. Mog by tego dwa gówne powody. Pierwszy moe by taki, e witryna jest sabo zabezpieczona i stanowi dla hakera atwy up — bdzie on móg jej zhakowanie wpisa do ewidencji swoich sukcesów. Drugi to celowy atak na wanie ten, a nie inny serwis. Na pewno jednak nieodcznym elementem kadego ataku jest rekonesans, czyli rozpoznanie. Odbywa si to zupenie tak jak w „realu” — zanim zodziej przystpi do dziaania, obserwuje i zbiera informacje. Kada informacja moe by dla hakera przydatna, a szczególnie o: x systemie operacyjnym (rodzaj, wersja, uruchomione programy i usugi); x bazie danych (rodzaj i wersja); x kodzie aplikacji; x chronionych czciach aplikacji; x konfiguracji i zabezpieczeniach systemu. Znajomo wersji oprogramowania pozwala hakerowi znale  luki w zabezpieczeniach — przy odrobinie szczcia moe on trafi na wersj, w której nie zostay one zaatane. Do wyszukania luk zabezpiecze w okrelonej wersji oprogramowania haker moe uy np. bazy CVE1. Ty z niej korzystasz, aby wiedzie, co jest dziurawe, i eby to zaktualizowa, a cyberprzestpcy uywaj jej, aby mie informacje o tym, jakie systemy (i jakie ich wersje) „choruj”, s podatne na atak. 1

https://cve.mitre.org/

Kup książkę

Poleć książkę


BEZPIECZESTWO OGÓLNE

|

79

Wiedza o rodzaju bazy danych pozwala z kolei dostosowa ataki polegajce na wstrzykiwaniu kodu SQL — ju sama ta informacja jest istotna, bo niektóre ataki s specyficzne dla rodzaju bazy danych, np. dziaaj w przypadku PostgreSQL, ale nie z MySQL. Nawet rodzaj jzyka, w którym napisano aplikacj, ma znaczenie. Sprawd my, jak moe wyglda atak cyberprzestpcy, który dla zabawy chce spróbowa swoich si w hackingu. Pierwsze, co moe on zrobi, to wpisanie w wyszukiwarce cigu sql dorks. Oto przykadowe cigi tego typu: allinurl:showimg.php?id= allinurl:view.php?id= allinurl:website.php?id= allinurl:hosting_info.php?id= allinurl:gallery.php?id=

Haker kopiuje i wkleja jeden z nich do wyszukiwarki, a nastpnie otwiera strony bdce wynikami wyszukiwania i przeprowadza rekonesans. Najatwiej jest zacz od sprawdzenia, czy dany cig (okrelany mianem SQL dorka) zadziaa. Przykadowo http://www. witryna.com/gallery.php?id=1 zawiera SQL dork gallery.php?id=. Wystarczy w pasku adresowym na kocu doda znak apostrofu i w wyniku otrzymujemy: Fatal error: Uncaught exception 'Exception' with message 'SQL Query failed: SELECT image,title,location,description,height,width from tblSCAImages WHERE id=83\\\'You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\\\'' at line 1' in /home/sca/wwwlib/gallery_lib.php:16 Stack trace: #0 /home/sca/www/gallery.php(21): sca_gallery_get_image_meta('83\'') #1 {main} thrown in /home/sca/wwwlib/gallery_lib.php on line 16

Mamy tu informacje o bdach i ju co wiemy o witrynie — wiemy, e jest to MySQL, a take o nazwach tabel i ich kolumn, o funkcjach PHP, a nawet o systemie plików. To si przyda. Sprawd my, jak witryna internetowa zareaguje na wpisanie bdnego

Kup książkę

Poleć książkę


80

|

BEZPIECZESTWO SYSTEMU E-COMMERCE

adresu strony http://www.witryna.com/coscokolwiek. Tu te otrzymujemy komunikat: Not Found The requested URL /coscokolwiek was not found on this server. Apache/2.2.3 (CentOS) Server at www.allspeedperformance.com Port 80

Znamy ju wersj serwera Apache. Zobaczmy jeszcze, jakie czci witryny s chronione. Wpiszmy http://www.witryna.com/ robots.txt. Otrzymamy: User-agent: * Disallow: /checkout/

To tylko przykad tego, jak mona zacz. Dalej mona „grzeba� w cookies, uy programu sqlmap, rcznie wstrzykiwa kod‌ Moliwoci jest wiele. To pokazuje, e ujawnianie zbyt wielu informacji moe dziaa na szkod systemu, bo pozwala przeprowadzi rekonesans. Dla hakera moe by przydatna w zasadzie kada informacja, zadbaj wic o to, aby nie wypuszcza na zewntrz komunikatów o bdach wraz z ich detalami oraz informacjami o wersji oprogramowania. Pozwala to hakerowi odnale  sabe punkty danej wersji.

Jak wprowadzi hakera w b d Uwaamy, e skoro podstaw atakĂłw jest rekonesans, to moe warto atakujcego wyprowadzi w pole. Gdy wida wyra nie, e co jest porzdnie chronione, to pewnie jest warte tego, aby to ukra. Mona to wykorzysta do stworzenia puapki na cyberprzestpc. Bdzie on dugo ama zabezpieczenia, aby w efekcie uzyska dostp do nic nie wartych informacji lub uruchomi alarm informujcy, e dzieje si co zego. Takie rozwizanie nazywa si z angielskiego honeypot. Tak puapk mona przykadowo zastawi, korzystajc z pliku robots.txt, ktĂłry suy do zezwalania na indeksowanie lub

Kup ksiÄ…ĹźkÄ™

Poleć ksiąşkę


BEZPIECZESTWO OGÓLNE

|

81

do wykluczania z indeksowania tych czci witryny, na których przeszukiwanie nie chcemy pozwoli tzw. robotom (np. botowi indeksujcemu strony dla Google). Plik ten znajduje si w roocie (katalogu gównym) witryny, np. http://ecommerce/robots.txt. Mona go uy do zmylenia przeciwnika, wpisujc w nim faszywe odniesienia, a nastpnie monitorowa te faszywie podstawione punkty. User-agent: * Crawl-delay: 10 Disallow: /strona_administracyjna/ Disallow: /admin_password.txt

Inn moliwoci „wkrcania” atakujcego jest wprowadzanie go w bd co do wykorzystanego oprogramowania. Przykadowo po zmianie rozszerzenia i nagówków kod PHP moe udawa inny kod: <?php error_reporting(0); header("X-Powered-By: ASP.NET"); ?>

Naley wtedy jeszcze pamita, aby korzystajc z session_name(), ustawi nazw sesji na przykad na SessionID, poniewa domylne PHPSESSID od razu wskazuje na PHP.

Rewrite Parametry kategorii, subkategorii i rozmaitych podstron wystpujce w adresie URL mona z atwoci ukry, korzystajc z mod_rewrite2. Jeli Twój system prezentuje adres w postaci http://strona/news. php?kategoria=10&rodzaj=4, to mona to zmieni, zapisujc przykadowo w .htaccess3 na serwerze nastpujcy cig: 2

3

Coraz czciej pojawiaj si opinie, e modu ten umiarkowanie wpywa na bezpieczestwo, dlatego trzeba mie zainstalowan aktualn wersj i stosowa go ostronie. Nazwa pliku .htaccess zaczyna si od kropki. Obecno kropki na pocztku nazwy pliku (lub folderu) oznacza, e jest to plik (folder) ukryty.

Kup książkę

Poleć książkę


82

|

BEZPIECZESTWO SYSTEMU E-COMMERCE

RewriteEngine On RewriteRule ^([a-z0-9-_]+),([a-z0-9-_]+),([a-z0-9-_]+).html$ $1.php?kategoria=$2&rodzaj=$3 [L,NC,NS]

Zmienne $ z cyfr odpowiadaj poszczególnym nawiasom reguki, natomiast ^ rozpoczyna, a $ koczy wyraenie regularne. Jeszcze ciekawszy wydaje si zapis RewriteRule ^artykul/([0-9]+)_(.*)\.html$ articles.php?id=$1

W tym przykadzie /artykul/24_wielka_wojna i /artykul/24_protesty_ ´acta zostan zamienione na /articles.php?id=24 (odniesienie $2 jest ignorowane). Jak widzisz, jeli dobrze wykorzystasz ten modu, to cigi sql-dork nie bd w serwisie widoczne.

ZAPASOWE KOPIE DANYCH Znamy osoby, które piszc prac magistersk, nie wykonay zapasowej kopii danych. Po stracie plików (pórocznej pracy) musiay napisa j w cigu miesica. W takich przypadkach zwyklimy artowa, e ludzie dziel si na tych, którzy robi kopie zapasowe, i na tych, którzy bd je robi . Bezpowrotna utrata danych jest jedn z najgorszych rzeczy, jakie si mog przedsibiorcy przydarzy — moe to prowadzi nawet do bankructwa. Skradzione komputery mona kupi, a danych niestety nie. W tej materii wiadomo nie jest jednak zbyt wysoka, a sam temat kopii zapasowych (zwanych backupami) staje si wany dopiero wtedy, gdy co si wydarzy. Tak samo jest w przypadku systemów e-commerce, szczególnie tych maych i rednich. Tymczasem cigy i poprawny proces wykonywania kopii zapasowych oraz testowania, czy da si z nich odtworzy dane konieczne do prowadzenia biznesu, pozwala zminimalizowa ryzyko ich bezpowrotnej utraty. Wiedz to bez wtpienia ci, którzy interesuj si zagadnieniami zachowania cigoci dziaania (tzw. BCM4). 4

BCM — ang. business continuity management.

Kup książkę

Poleć książkę


BEZPIECZESTWO OGĂ&#x201C;LNE

|

83

W jakiej sytuacji kopia danych moe si przyda? Chyba najlepiej odpowiedzie, e w kadej: x awaria urzdze (najczciej ulegaj jej noniki danych â&#x20AC;&#x201D; dyski twarde); x bd ludzki, czyli utrata danych w wyniku niecelowego dziaania pracownika (co si niechccy usuno); x sabota â&#x20AC;&#x201D; utrata danych w wyniku celowego szkodliwego dziaania na przykad niezadowolonego pracownika; x dziaanie wirusĂłw (oprogramowania zoliwego), ktĂłrych celem moe by usunicie bd zaszyfrowanie danych, aby uniemoliwi do nich dostp; x atak hakerĂłw, czyli celowe usunicie, zmodyfikowanie czy zniszczenie danych. x kradzie sprztu i utrata nonikĂłw danych; x zdarzenie losowe â&#x20AC;&#x201D; uszkodzenie sprztu w wyniku przepicia, zalania itp. Jedno z praw Murphyâ&#x20AC;&#x2122;ego mĂłwi, e jeli co moe pĂłj le, to z pewnoci pĂłjdzie le, wic nie ma co liczy, e nic si nie zdarzy. Na pewno si zdarzy â&#x20AC;&#x201D; to tylko kwestia czasu.

Co naley backupowa? Przede wszystkim wykonuje si kopie zapasowe danych biznesowych. Bd to bazy danych, pliki i katalogi serwisu e-commerce. W przypadku hostingu zajmuje si tym hostingodawca, ale jeli serwery s w caoci pod Twoim wadaniem, to zadanie to spada na Ciebie (rysunek 2.1). Jeli zarzdzasz caym systemem, niezbdny bdzie backup konfiguracji aplikacji, bazy danych, systemĂłw operacyjnych czy te urzdze sieciowych.

Kup ksiÄ&#x2026;ĹźkÄ&#x2122;

PoleÄ&#x2021; ksiÄ&#x2026;ĹźkÄ&#x2122;


84

|

BEZPIECZESTWO SYSTEMU E-COMMERCE

Rysunek 2.1. Hosting — moliwo wykonania samodzielnie backupu z poziomu panelu hostingowego (DirectAdmin)

To, jak czsto naley wykonywa zapasow kopi danych biznesowych, zaley od systemu i jego specyfiki. Trzeba odpowiedzie sobie na pytanie o to, z jakiego okresu dane mog zosta utracone. Jeli serwis jest mao aktywny, to zapasowa kopia danych wykonywana raz na tydzie te moe by dobra, jednak w przypadku aktywnych systemów na pewno powinna ona by tworzona codziennie. Pamitaj, e serwisy pracujce w klastrze to nie backup; nie stanowi go te np. disk mirroring. Dane dotyczce konfiguracji mona backupowa nieco rzadziej, ale naley to robi przed kad zmian i po niej.

Kup książkę

Poleć książkę


BEZPIECZESTWO OGÓLNE

|

85

Jeli chodzi o hosting, to wikszo hostingodawców — jeli nie wszyscy — tworzy zapasowe kopie danych i udostpnia je uytkownikowi (rysunek 2.2).

Rysunek 2.2. Backup danych dostpny w usudze hostingu

W wikszoci przypadków dostpny jest take backup na danie. Przydaje si on na przykad przed dokonaniem w serwisie istotnych zmian, które s na tyle ryzykowne, e lepiej zapewni sobie kopi. Operacj tak jest choby aktualizacja systemu czy zmiana struktury bazy danych. System informatyczny to nie czowiek — wikszoci operacji nie powinno si wykonywa na „ywym organizmie”. Kopia zapasowa moe by niewiele warta, jeeli okae si, e zostaa nieprawidowo wykonana, dlatego okresowo naley sprawdza, czy w kopii zapisane s potrzebne dane i czy da si je odtworzy. Za bardzo wane uwaamy to, aby backup by przechowywany take poza siedzib firmy, nawet w domu, jeli zostan zapewnione odpowiednie warunki. Dziki temu w przypadku duej awarii bdzie

Kup książkę

Poleć książkę


86

|

BEZPIECZESTWO SYSTEMU E-COMMERCE

moliwe szybkie odtworzenie systemu na przykad na innym sprzcie i (lub) w innej lokalizacji. Kopia zapasowa danych zawiera wszystko to, co jest w oryginalnym rodowisku e-commerce, wic mogaby by cenn zdobycz dla konkurencji. W zwizku z tym backup powinien by chroniony na poziomie nie niszym ni sam system e-commerce. Dostp do niego powinny mie tylko wybrane osoby. Dobrze by byo, aby dane na nonikach byy szyfrowane, szczególnie jeeli maj by one przechowywane w domu. Zapewnienie tego jest akurat proste, bo cay backup mona zabezpieczy hasem: ~# gpg -c backup.tar #zaszyfrowanie ~# gpg backup.tar.gpg #odszyfrowanie

Nawiasem mówic, polecenie gpg domylnie kompresuje dane przed szyfrowaniem. Wystarczajce jest te spakowanie danych do pliku ZIP i zabezpieczenie go hasem. Dziki temu jest mae ryzyko, e dane, za pomoc których mona by utworzy „duplikat firmy”, wpadn w niepowoane rce. Warto te zauway, e do zabezpieczania plików mona uy pakietu openssl. Przykadem s nastpujce polecenia do szyfrowania i (pó niej) odszyfrowywania danych: ~# openssl aes-128-cbc -salt -in plik.tar -out plik.tar.aes enter aes-128-cbc encryption password: Verifying - enter aes-128-cbc encryption password: ~# openssl aes-128-cbc -d -salt -in plik.tar.aes -out plik.tar

Mona te zrobi to nieco inaczej — „starowa” katalog, spakowa do pliku ZIP, pó niej zaszyfrowa: ~# tar -zcf - caly_katalog | openssl aes-128-cbc -salt -out caly_katalog.tar.gz.aes

a w kocu odszyfrowa: ~# openssl aes-128-cbc -d -salt -in caly_katalog.tar.gz.aes | tar -xz -f -

Kup książkę

Poleć książkę


BEZPIECZESTWO OGÓLNE

|

87

Nie zalecamy uywania opcji -k "haso" po wyraeniu aes-128-cbc — wtedy co prawda unikamy interaktywnego pytania o haso, ale prowadzi to do zapisania go na przykad w pliku .history5. Mona te uy aes-256-cbc zamiast aes-128-cbc, jeli jest potrzebne silniejsze szyfrowanie, ale naszym zdaniem rzadko kiedy jest to konieczne. Mówilimy o backupie wszystkich danych, ale moe si te zdarzy, e pracujc na pojedynczych plikach (np. kodzie PHP), bdziesz w trakcie ich modyfikacji tworzy podrczne kopie zapasowe. Chodzi nam o ywy organizm, tj. dziaajcy system e-commerce. Przykadowo edytujc plik dbconnect.inc, moesz zrobi kopi tego pliku i zapisa j jako dbconnect.inc.old. Jest to bardzo niebezpieczne, gdy moe si okaza, e o ile pliki *.inc serwer moe blokowa przy uyciu dyrektywy <Files "*.inc">, to moe tego nie robi dla plików *.old czy *.backup. Wtedy atakujcy bdzie móg je odczyta przez przegldark, wpisujc na przykad adres http://ecommerce/ dbconnect.inc.old. Powiniene wic doda do konfiguracji webserwera odpowiedni dyrektyw i konsekwentnie trzyma si nazewnictwa takich „backupów” tymczasowych (podrcznych).

Backup hase Haso mona zapomnie, wic je te warto w pewien sposób backupowa, czyli zapisywa. Najlepiej uy to tego oprogramowania — nie zalecamy przechowywania hase w postaci jawnej w notesach, na „ótych karteczkach” etc. Korzyci zwizane z ich zapisywaniem z uyciem elektronicznego sejfu s do due — moesz tworzy unikalne, zoone hasa dla kadego serwisu i nie przejmowa si tym, e je zapomnisz. Elektroniczny sejf to po prostu zaszyfrowany plik z hasami; pisalimy ju wczeniej o programie KeePass. Musisz mie jego backup! Najlepiej mie ich kilka 5

W pliku .history przechowywana jest historia wszystkich polece wydawanych w oknie terminalu.

Kup książkę

Poleć książkę


88

|

BEZPIECZESTWO SYSTEMU E-COMMERCE

i w rónych miejscach — wtedy prawdopodobiestwo jednoczesnej utraty ich wszystkich jest niewielkie. Piszemy o tym, bo przy tworzeniu hasa na przykad do poczenia z baz systemu e-commerce niekiedy brakuje nam fantazji. KeePass „wymyli” haso za Ciebie (rysunek 2.3), a poniewa jednoczenie je zachowa, nie bdziesz musia przejmowa si tym, jakie ono jest, i bdziesz móg pozwoli sobie na to, by byo hardcore’owe — dugie i wrcz niemoliwe do zapamitania. Zalecamy, aby tworzy z uyciem tego programu przede wszystkim hasa administracyjne (a najlepiej wszystkie).

Rysunek 2.3. Generowanie hase przy uyciu programu KeePass

Na koniec warto jeszcze wspomnie o tym, e plik z hasami powinien by zabezpieczony porzdnym hasem i przechowywany poza serwerem, na którym znajduje si Twoja aplikacja.

Kup książkę

Poleć książkę


Kup książkę

Poleć książkę



Bezpieczenstwo_systemu_e_commerce_czyli_jak_bez_ryzyka_prowadzic_biznes_w_internecie_bezsec