Компоненты, библиотеки и надстройки
Cтатья "Обеспечение безопасности веб-сайтов" предоставлена Sophos Plc и SophosLabs.
Декабрь 2007 г.
Многие веб-разработчики не утруждают себя изобретением велосипеда. Если вас просят добавить популярную и широко используемую функциональность, проще всего найти пакет, в котором уже есть имеющийся компонент, и настроить его под свои нужды. Подобная ситуация зачастую характерна для сложных многофункциональных микроприложений — блогов, форумов и систем управления контентом (CMS).
Причины для использования настраиваемых систем, предлагаемых сторонними разработчиками, очевидны: экономия времени и средств.
Тем не менее, как и любое другое ПО, подобные надстройки могут иметь свои недостатки. В связи с этим необходимо следить за тем, какие именно пакеты используются, и регулярно их обновлять. Популярность некоторых пакетов может вести к возникновению ложной уверенности в их надежности. Во многих распространенных пакетах обнаруживаются уязвимости, актуальные даже при правильной установке и настройке.
К числу популярных серверных приложений, в которых в прошлом обнаруживались серьезные уязвимости, относятся:
Wordpress (блог).
phpBB (форум).
CMS Made Simple (CMS).
PHPNuke (CMS).
bBlog (блог).
Многие из перечисленных (и аналогичных им) надстроек широко распространены, что делает их привлекательной целью для хакеров, стремящихся максимально расширить число потенциальных жертв. Поскольку большинство операционных систем и HTTP-серверов поддерживают автоматическое обновление, многие разработчики «настраивают и забывают» определенные функции, но при этом пренебрегают обновлением различных надстроек; это весьма опасная ошибка.
Опять-таки, здесь, как и ранее, рекомендуется использовать следующее правило: долой то, что не используется! Если поставщик услуг хостинга поддерживает подобные функции по умолчанию, отключите их. Если отключить их невозможно, следует подумать о том, нужны ли вам такие услуги.
