Eurax

Chciałbym Zaznaczyć
Na swoim Blogu umieszczam nie tylko swoje artykuły.Przy innych publikacjach umieszczę źródło.

PHP - Niebezpieczne sesje

SEssion - PHP Protokół HTTP jest protokołem bezstanowym. Oznacza to, że serwer WWW rozpatruje każde żądanie niezależnie od innych, nie szukając żadnych powiązań w stylu wysyłania ich przez tego samego internautę. Utrudnia to teoretycznie tworzenie wszelkich systemów autoryzacji, które wymagają śledzenia poczynań użytkownika na naszej stronie i przenoszenia jego danych autoryzacyjnych między kolejnymi żądaniami.
Sesje są rozwiązaniem problemu bezstanowości protokołu HTTP, w którym żądania nie są ze sobą powiązane. Umożliwiają one identyfikacje żądań poszczególnych użytkowników za pomocą przekazania identyfikatora sesji. Jest on dołączany do każdej odpowiedzi serwera jako "ciastko", ukryte pole w kodzie strony lub jako dodatkowy parametr adresu URL.

Fizycznie są to pliki tekstowe zawierające dane przypisane do konkretnych użytkowników.

Niebezpieczeństwo sesji.

  • Atak session fixation
Najprościej mówiąc w sesji przechowywane są dane dotyczące konkretnego użytkownika. Mogą to być informacje o wybranej wersji językowej czy szablonie strony, mogą to być również wrażliwe dane takie jak loginy, hasła, dane osobowe.
Kluczowym elementem w działaniu mechanizmu sesji jest jej identyfikator. To dzięki niemu użytkownik ma dostęp do swojego pliku sesji. Z nim też wiąże się spory problem. Uzyskanie czyjegoś identyfikatora umożliwia dostęp do danych zapisanych w sesji. Z racji trzymania identyfikatora po stronie użytkownika istnieje możliwość jego kradzieży, a przez to podszycie się pod jego właściciela. Dwie najbardziej popularne metody, a zarazem najprostsze do wykorzystania oraz zabezpieczenia to XSS oraz przekazanie adresu URL wraz ze zmienną sesyjną.
Aby zabezpieczyć się przez atakiem session fixation należy dokonać dwie czynności. Pierwszą z nich jest dopilnowanie, aby identyfikator sesji zawsze przekazywany był w ciasteczku, a nie jako element adresu.
Jeśli nie mamy możliwości edycji pliku php.ini powyższą zmianę możemy dokonać za pośrednictwem pliku .htaccess umieszczając w nim dwie linijki:

php_value session.use_only_cookies 1
php_value session.use_trans_sid 0

Drugim zabezpieczeniem jest wygenerowanie nowego identyfikatora sesji z każdym wykonaniem skryptu - zmniejsza to możliwość podszycia się pod użytkownika gdy nastąpi kradzież identyfikatora. Służy do tego funkcja

session_regenerate_id( );

Przykład skryptu w PHP


  •  

  • Atak session poisoning
     
 
Skutecznie przeprowadzony atak session poisoning skutkuje możliwością modyfikacji danych znajdujących się w sesji agresora. Może on tego dokonać dwojako.
 
  • Pierwszym sposobem jest wykorzystanie błędu braku filtrowania danych płynących od użytkownika, które są umieszczane w sesji.
 
 
  • Do wykonania drugiego sposobu wymagana jest możliwość wgrania plików w ramach tego samego konta co atakowany system. Posiadając taką możliwość możemy na serwerze umieścić plik, którego zadaniem będzie wyświetlenie aktualnych wartości sesji oraz umożliwienie ich modyfikacji.
 
 
Poniżej fragment napisany w PHP umożliwiający manipulację zmiennymi sesyjnym
 
';
print_r( $_SESSION);
echo '
';
if( $_GET['user'] )
      $_SESSION[$_GET['user']] = $_GET['login'];

?> 
  •  

  • Atak session injection
     
 
Posiadając konto u jednego z providerów internetowych dzielimy zasoby serwera z innymi użytkownikami. W skład tych zasobów wchodzą między innymi pliki. O ile dostępu do plików na naszym koncie chronią poprawnie ustawione uprawnienia dostępu, o tyle sytuacja taka nie zawsze ma miejsce jeśli chodzi o katalog z plikami sesji. Niepoprawnie skonfigurowany serwer może dać nam możliwość nie tylko podglądu ale i modyfikacji plików sesji.Pliki te nie są szyfrowane.
 
Poniżej fragment skryptu PHP umożliwiający listowanie oraz podgląd plików sesji.
 
';
              }


?>
 
Sposobem na zabezpieczenie się przed podglądem pliku sesji jest zmiana katalogu, w którym będą one przechowywane. Możemy tego dokonać korzystając z funkcji
 
session_save_path( );
 
Należy pamiętań, aby katalog z plikami sesji nie był publicznie dostępny dlatego powinien znajdować się powyżej katalogu public_html
 
  •  
    Atak session riding
     
 
Celem ataku session riding jest wykonanie złośliwego kodu z uprawnieniami zalogowanego użytkownika. Może to doprowadzić do kradzieży danych użytkownika, zamówienie przez niego jakiegoś produktu, lub w przypadku wykonania kodu przez administratora "dostęp” do panelu administratora.
 
Zabezpieczenie przed CSRF( skrót - bo taki ten atak posiada) może wydawać się trudne lecz istnieje kilka sposobów by tego dokonać. Dwa najciekawsze opierają się na tokenach, czyli losowo wygenerowanych ciągach znaków.
 
 
  • Zasada działania pierwszego sposobu opiera się na umieszczeniu dodatkowe pola w każdym znaczącym formularzu. W polu tym będzie znajdował się wygenerowany token, który po wysłaniu formularza będzie sprawdzany z tokenem zapisanym np. w sesji.
 
 
 
  • Drugi sposób jest "bardziej skomplikowany”, a wraz z tym lepszy. Polega on na stworzeniu "tablicy routingu”. Mianowicie chodzi o tabelkę w bazie danych która będzie zawierała w sobie zestawienie tokenów oraz prawdziwych adresów. Token powinien być generowany inny dla każdego użytkownika. Dzięki temu napastnik nie będzie w stanie wywołać akcji z uprawnieniami zalogowanego użytkownika.
 
 
http://www.przyklad.com/?element=jakis&element=inny&akcja=zrob
 
Po zmianie wyglądów adresów po użyciu "tablicy routingu"
 
http://www.przyklad.com/?token=djPana76ashHSB
 
Implementacja własny mechanizm obsługi sesji.
 
Sposobem na zabezpieczenie się przed problemami związanymi z natywną obsługą sesji jest stworzenie własnego systemu obsługi sesji. Największy nacisk powinien w niej zostać położony na sposób przechowywania danych oraz zarządzania identyfikatorem sesji.
  
Najbezpieczniejszym miejscem na przechowywania danych jest baza danych. Aby uzyskać do niej dostęp należy znać dane umożliwiające logowania lub wykonać atak typu SQL Injection. Ze względu na swoją naturę możemy pominąć pierwszy sposób. Drugi atak może zostać przeprowadzony tylko w przypadku błędnie napisanego kodu. Można więc zauważyć, że poprawnie napisany system oraz własny mechanizm sesji daje nam całkowite bezpieczeństwo.
 
Sposób generowania identyfikatora zależy już tylko od inwencji twórców systemu zabezpieczeń tworzonej aplikacji. Można się do tego posłużyć funkcjami generującymi losowe znaki oraz funkcjami hashującymi. Co ważne po każdym wygenerowaniu ID trzeba się upewnić, że jest ono unikalne i nie zostało już wcześniej przydzielone innemu użytkownikowi.
 
Wygenerowany identyfikator powinniśmy umieścić w cookies oraz dodać dodatkowe zabezpieczenie uniemożliwiające przeprowadzenie ataku session fixation.
 
W PHP istnieje możliwość napisania własnych funkcji zarządzania sesją pod natywną obsługę sesji. Służy do tego funkcja session_set_save_handler Oznacza to tyle, że odwołując się do superglobalnej tablicy sesji ($_SESSION) odwołujemy się niejawnie do naszych funkcji. Oprócz tego, że sposób ten jest wygodny jest również bezpieczny na zmiany w kodzie oraz w sposobie przechowywania danych.
 
 
Wymienione w nawiasie -“m_open”,”m_close”,”m_read”,”m_write”,”m_destroy”,“m_gc”)  to nic innego jak nazwy własnych ( funkcji napisanych w php )
 
Poniżej przykład  funkcji użytkownika.
 
function m_open($save_path, $session_name){
  $r = mysql_connect() or die(“komunikat błędu”);
  mysql_select_db($save_path, $r) or die(”"komunikat błędu);
  return define(‘__ses_db’, $r);
}
function m_close() {
return mysql_close(__ses_db);
}
 
Źródło:
 
  1. Ilia Alshanetsky - "Php|architect’s Guide to Security"  -Marco Tabini & Associates, Inc. 2006
  2. php.net - http://pl2.php.net/manual/pl/ref.session.php
  3. Blog - iBlog - Ilia Alshanetsky
  4. Securing PHP Applications
  5. Blog - http://www.askapache.com/
  6. Neil Daswani, Christoph Kern - "Foundations of Security: What Every Programmer Needs to Know" - Apress 2007 - http://www.apress.com










czwartek, kwietnia 03, 2008
 | 


Etykiety:
,

 | 
0 Comments
















Co To Jest SSL ?







Doniesienia o phishingu, fałszywych witrynach za pomocą których  wyłudzane są numeru kart kredytowych łącznie z podaniem PIN typu:
 
DI
 
 
Sprytniejszy atak na klientów BZ WBK 24
 
Przestępcy wyciągnęli wnioski i dziś od rana zalali polskich internautów fałszywymi e-mailami, tym razem napisanymi poprawną polszczyzną oraz innymi w języku angielskim. Kolejny atak typu phishing na klientów banku BZ WBK 24 jest też bardziej przemyślany.
 
Dwa tygodnie temu przeprowadzono nieudolny atak na klientów BZ WBK, próbując wyłudzić numery kart kredytowych wraz datą ważności i kodem PIN. Tym razem przestępcy trochę bardziej się postarali.....
 
   
sprawiły, że jestem trochę ostrożniejszy. Logując się do bankowego konta poświęcam chwilę uwagi, aby sprawdzić pewne "detale" - przynajmniej to czy przeglądarka wyświetla charakterystyczną, żółtą kłódeczkę SSL ( IE ) ,czy nagłówek w adresie zaczyna się od "https" ( w przypadku mojego banku ). Obecność "żółtej kłódeczki" nie zapewni nam jednak bezpieczeństwa komunikacji, ani nie da gwarancji, że jesteśmy połączeni z właściwym serwerem.
 
 
No dobrze, ale ktoś może zapytać a co to jest ta "żółta kłódka SSL" ?
 
 
To nic innego jak wskaźnik ,że jest aktualnie stosowany( IE stosuje ) protokół SSL. Protokół SSL (ang.Secure Sockets Layer), stworzony na początku lat 90-tych przez Netscape w początkowej wersji SSLv2 posiadał poważne słabości. Wersja SSLv3 stała się standardem de facto jeśli chodzi o bezpieczeństwo sesji HTTP. Pod koniec lat 90-tych SSL wziął pod swoje skrzydła IETF (ten od standardów RFC) i kontynuuje jego rozwój pod nazwą TLS (Transport Layer Security, w 2006 roku wyszła nowa wersja TLS 1.1). Ponieważ większość przeglądarek i serwerów WWW nadal ustawia jako domyślny protokół SSLv3, więc powszechnie mówi się o protokole SSL/TLS mając na myśli SSLv3, TLS 1.0 lub TLS 1.1, które są w dużym stopniu wstecznie kompatybilne.
   
Protokół SSL/TLS zapewnia następujące funkcje bezpieczeństwa: 
 
 
  • Uwierzytelnienie serwera - czyli potwierdzenie jego autentyczności certyfikatem X.509
  • Poufność i integralność transmisji - czyli ochronę przed podsłuchaniem wrażliwej treści na trasie między serwerem i przeglądarką, lub jej nieuprawnioną modyfikacją;
  • uwierzytelnienie w SSL/TLS jest asymetryczne i jednostronne - w przeważającej większości zastosowań tylko serwer uwierzytelnia się za pomocą certyfikatu X.509. Klient robi to później, loginem i hasłem, już wewnątrz tunelu SSL/TLS.
 
  
Powód dla którego uwierzytelnienia się tylko serwer jest bardzo prosty i pragmatyczny - uwierzytelnienie klienta certyfikatem X.509 wymaga posiadania certyfikatu. A ten przywiązuje klienta albo do konkretnego komputera albo do karty elektronicznej - a ta z kolei wymaga czytnika i sterowników.
 
Poza ochroną przed podsłuchiwaczami zadaniem SSL/TLS jest przede wszystkim zapewnienie klienta, że łączy się z tym serwerem, z którym rzeczywiście chciał się połączyć. Po to właśnie operator serwera kupuje certyfikat X.509 w centrum certyfikacji. Centrum gwarantuje klientowi, że łącząc się przez SSL z serwerem ( przykład) https://wbkbz.pl/ łączy się faktycznie z serwerem, który ma prawo posługiwać się tą nazwą. Oraz, że serwis ten należy do "WBK BZ SA" z Poznania (? tu się mogę mylić czy aby napewno WBK BZ ma siedzibę w Poznaniu) .
 
Reasumując,protokół SSL, jak każdy mechanizm bezpieczeństwa, jest protokołem silnym tylko pod warunkiem poprawnego wykorzystania. Tymczasem w praktyce, z powodu braku zrozumienia pewnych niuansów implementacji tej technologii, administratorzy zbyt często popełniają błędy. Powodują one, że zabezpieczenie komunikacji poprzesz SSL jest w dużej mierze fikcyjne.
 
 
 
 
 
Źródła:
 
  1. SSL -Wikipedia Wolna Encyklopedia.
  2. Stephen Thomas - "SSL and TLS Essentials", Wiley and Sons 2000.
  3. http://www.securitynet.pl/
  4. Dafydd Stuttard and Marcus Pinto - "The Web Application Hacker’s Handbook",Wiley Publishing, Inc 2008.
  5. Simson Garfinkel & Eugene H. Spafford - "Web Security & Commerce" O'Reilly
  6. Bret Hartman,Donald J. Flinn,Konstantin Beznosov,Shirley Kawamoto - "Mastering Web Services Security" , Wiley Publishing, Inc.,2003










środa, kwietnia 02, 2008
 | 


Etykiety:

 | 
0 Comments
















Bezpieczna Sieć ?







 
 Bezpieczna Sieć ?
 
 
InternetTemat bezpieczeństwa w sieci jest w ostatnim czasie bardzo modny. Ostatnio słyszy się o udanych lub mniej udanych włamaniach na strony www lub do systemów różnych firm. Oczywiście takie informacje traktuje się jako sensacje - szczególnie "media" nakręcają to wszystko co się wydarzyło , jako coś "strasznego" , a ludzi którzy się tego dopuścili jako przestępców , których policje wszystkich krajów winne ścigać z całą bezwzględnością. W zupełności się zgadzam z tym ,że jeżeli ktoś szkodzi innym powinien być ścigany , ale czy nie powinien być ścigany też ten kto w sposób nieumiejętny ( nieudolny ) gromadzi ( "przechowuje" ) dane użytkowników ??? Właśnie niedawno otrzymałem E-mail od administratorów z jednego forum ( gdzie oczywiście byłem całkowicie legalnie zarejestrowany ) z następującą treścią ( pisownia jak w orginale ):
 
 
Witam.
Przedwczoraj mialo miejsce wlamanie na konto serwisu .......... szczegoly znajduja sie tutaj: ...........
 
Hacker skopiowal cala baze danych uzytkownikow.
W tym miejscu chcielismy po raz setny i po raz ostatni podkreslic ogromna wage nieuzywania tych samych lub podobnych hasel na roznych serwisach w internecie.
Hasla w naszej bazie sa zakodowane mechanizmem md5 jednak gdy haslo jest krotkie lub proste jest ono mozliwe do rozkodowania.
Jednak niezaleznie czy mamy haslo dlugie i skomplikowane czy nie, powinnismy w kazdym serwisie uzywac innego hasla gdyz nieuczciwy administrator lub podstepny hacker modyfikujac pliki moze dostac nasze haslo w postaci golego tekstu (w przypadku ..... hasla golym tekstem nie wyciekly) Dlatego tez pamietajcie, uzywajcie wszedzie innych hasel !!!
 
 
Oczywiście nie podaję tutaj informacji z jakiego serwisu otrzymałem tą wiadomość , a to dlatego ,że uważam ,że mądry administrator nie informuje "na gorąco" użytkownika o mającym miejsce włamaniu do jego serwisu , a w pierwszej kolejności zmienia własne hasła , ocenia straty jeżeli są one duże ( subiektywna ocena ) przywraca kopię systemu sprzed włamania , zmienia sposób działania skryptu logowania użytkownika wymuszając nań zmianę hasła , a na ostatnim miejscu wysyła informację do użytkowników z informacją o mającym miejsce "ataku" oraz dodatkowo informując o zmianie sposobu logowania ( wymuszanie zmiany hasła przez sam system) na końcu dodaje magiczne słowo "przepraszam" z zapewnieniem ,że zostały już podjęte odpowiednie kroki mające na celu uniknięcie w przyszłości podobnych zdarzeń.
 
Co ciekawe w wiadomości tej zawarte są informacje , o których nikt nie powinien nic wiedzieć , a mianowicie:
 
 
Hasla w naszej bazie sa zakodowane mechanizmem md5 jednak gdy haslo jest krotkie lub proste jest ono mozliwe do rozkodowania .
 
  
InternetPotraktowałbym to jako zaproszenie , szkoda ,że nie podano adresu serwera bazy danych i innych ważnych informacji np. Nazwy użytkownika oraz hasła w cPanelu w sposób jawny.
 
Między innymi ta jak i inne informacje dochodzące do mnie z mediów, a dotyczące bezpieczeństwa sieci ( internetu ) zainspirowały mnie do napisania tego posta.
   
 Przeglądając strony i portale internetowe wielu firm prywatnych, mamy do czynienia z tzw. polityką prywatności. Natomiast nie wszystkie z odwiedzonych prze zemnie stron www instytucji publicznych, zarówno bibliotek, instytutów naukowych, ośrodków akademickich, urzędów miejskich i gminnych nie posiada opracowanej takiej polityki. Większość z internautów nie zwraca na ten aspekt uwagi, ale w dobie olbrzymiego postępu teleinformatycznego oraz dynamicznego rozwoju społeczeństwa informacyjnego powinno się zasygnalizować problem związany z bezpieczeństwem danych w sieci. Strony internetowe obok warstwy informacyjnej posiadają także możliwość pozostawiania danych osobowych (logowanie się do baz danych, odpowiedzi na ankiety czy konkursy prowadzone na stronach www).
 
 
Czy jako użytkownicy Internetu możemy bez obaw odwiedzać strony internetowe różnych instytucji, mając przez nie zagwarantowane, że nasze dane nie zostaną wykorzystane w inny sposób? Możemy więc zadać pytanie, co to jest polityka prywatności, czemu służy i kogo chroni?
 
Aby lepiej zrozumieć problem, przyjrzyjmy się bliżej, czym jest polityka bezpieczeństwa i bezpieczeństwo teleinformatyczne.
 
 Polityka bezpieczeństwa (z języka angielskiego security policy) jest zbiorem spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Określa ona, które zasoby i w jaki sposób mają być chronione. Polityka bezpieczeństwa powinna obejmować wskazanie możliwych rodzajów naruszenia bezpieczeństwa (np. utrata danych, nieautoryzowany dostęp), scenariusze postępowania w takich sytuacjach i działania, które pozwolą uniknąć powtórzenia się danego incydentu. Polityka bezpieczeństwa definiuje ponadto poprawne i niepoprawne korzystanie z zasobów (np. kont użytkowników, danych, oprogramowania).
 
Istotne jest, aby polityka bezpieczeństwa była dokumentem spisanym i znanym oraz zrozumianym przez pracowników organizacji korzystających z zasobów informatycznych. Dotyczy to także klientów organizacji (użytkowników jej zasobów).
 
Internet - ProjektowaniePrzy jej projektowaniu należy rozważyć, czy organizacja wdrażająca politykę bezpieczeństwa będzie w stanie ponieść koszty jej wprowadzania w życie. Podwyższanie poziomu bezpieczeństwa organizacji czy systemu odbywa się najczęściej kosztem wygody i efektywności działania. Dlatego, opierając się na zalecanych modelach czy standardach w tej dziedzinie, należy pamiętać o dostosowaniu rozwiązania do specyfiki organizacji, tak aby nadać jej cechy ułatwiające zastosowanie w praktyce.
 
Polityka bezpieczeństwa powinna adresować następujące zagadnienia:
 
  • jakie zasoby podlegają ochronie: 
    • informacja (dane),
    • systemy teleinformatyczne (sprzęt),
     
  • sposób ochrony wyodrębnionych zasobów.
 
Projektując mechanizmy ochrony informacji, należy określić natomiast następujące elementy:
 
  • model bezpieczeństwa,
  • mechanizmy kontroli dostępu,
  • poziomy uprawnień (jakie poziomy uprawnień istnieją i jakie są zasady ich przyznawania),
  • mechanizmy identyfikacji i zapewnienie autentyczności (na poziomie fizycznym i systemów),
  • śledzenie zdarzeń w systemie (jakie mechanizmy/programy/procedury stosowane są do śledzenia zmian w systemach).
  
Bezpieczeństwo teleinformatyczne to inaczej bezpieczeństwo informacji i systemy teleinformatyczne rozpatrywane w odniesieniu do instytucji wykorzystującej lub udostępniającej infrastrukturę teleinformatyczną, aby osiągnąć wyznaczone cele Zarządzanie bezpieczeństwem w organizacji to ciągły i złożony proces umożliwiający bezpieczną realizację misji, do której instytucję powołano. Proces ten zachodzi w stale zmieniającym się środowisku, przy występowaniu coraz to nowych form zagrożeń i wyzwań dla instytucji, a także przy szybkim postępie technologicznym. Bezpieczeństwo w ujęciu całościowym powinno obejmować aspekt organizacyjny, techniczny i prawny.
 
Zarządzanie bezpieczeństwem to szereg uzupełniających się procesów:
 
  1. opracowanie polityki bezpieczeństwa instytucji w zakresie systemów informatycznych,
  2. identyfikacja i analiza zagrożeń dla zasobów,
  3. dobór właściwych zabezpieczeń redukujących ryzyko,
  4. monitorowanie procesu wdrożenia zabezpieczeń i ich ocena podczas eksploatacji systemu,
  5. opracowanie i wdrożenie programu szkoleniowego dotyczącego wprowadzonych zabezpieczeń,
  6. wykrywanie i reakcja na incydenty.
 
Bezpieczeństwo rozpatrywać można na trzech poziomach:
 
  1. Instytucji - podstawowe wytyczne, dotyczące całej instytucji. Regulacje muszą być osadzone w realiach prawnych instytucji. Na tym poziomie chroniona jest: ciągłość misji, ciągłość procesów biznesowych, zdolność świadczenia usług, reputacja, działanie zgodne z prawem;
  2. Infrastruktury teleinformatycznej - operuje się tu pojęciem polityki bezpieczeństwa instytucji w zakresie systemów informatycznych, ustala się zbiór praw, reguł i wskazówek praktycznych, które określają, jak zasoby informatyczne, w tym informacje wrażliwe, są zarządzane, chronione i dystrybuowane w instytucji i jej systemach teleinformatycznych. Ochronie na tym poziomie podlegają: zasoby informacji, oprogramowanie, sprzęt, kadry, dokumenty (w tym dotyczące eksploatacji oraz samych zabezpieczeń);
  3. Poszczególnych systemów - bezpieczeństwo systemów teleinformatycznych jest takie, jakie jest bezpieczeństwo najsłabszego z eksploatowanych systemów. Operuje się tu terminem polityki bezpieczeństwa systemu teleinformatycznego, która przedstawiona jest jako zestaw praw, reguł i praktycznych doświadczeń ustalających sposób zarządzania, ochrony i dystrybucji informacji wrażliwej wewnątrz określonego systemu.
 
Podane poniżej definicje mogą nam w dużym stopniu pomóc w zdefiniowaniu pojęcia polityki prywatności serwisów internetowych:
 
  • cookie - mały plik zapisywany przez serwer serwisu, po którym porusza się internauta, na komputerze, z którego w danej chwili korzysta. Tę informację serwer danego serwisu może odczytać przy ponownym połączeniu się z tego komputera.
  • log systemowy - jest to informacja, jaką komputer internauty przekazuje serwerowi przy każdym połączeniu. Log systemowy może zawierać takie dane, jak np. numer IP, na podstawie którego można w dużym przybliżeniu ustalić lokalizację łączącego się z serwisem komputera.
  • adres IP - indywidualny numer, który z reguły posiada każdy komputer podłączony do jakiejkolwiek sieci komputerowej. Numer IP może być stały dla danego komputera (statyczny) lub może być przydzielany podczas każdego połączenia (dynamiczny),
  • protokół SSL - standard przesyłania danych w Internecie. Protokół SSL koduje transmisję danych z komputera do serwera serwisu, w odróżnieniu od zwykłego przesyłania, gdzie transmisja odbywa się "otwartym tekstem",
  • strona użytkownika - strona, która ukazuje się internaucie po zalogowaniu się do serwisu.
 
Internet  - Bazy danychKolejnym krokiem do poznania pojęcia polityki prywatności jest sposób gromadzenia i wykorzystania informacji o użytkownikach przez serwisy internetowe. Wiele serwisów ogranicza wykorzystanie i zbieranie informacji o klientach do niezbędnego minimum wymaganego do świadczenia usług na najwyższym poziomie, co obejmuje m.in. informowanie naszych klientów o oferowanych przez nas produktach i usługach. W niektórych przypadkach (np. badania ankietowe, konkursy, formularze zamówień) zbierane są informacje o użytkownikach, takie jak adresy poczty elektronicznej lub dane osobowo-adresowe. Informacje te nie są udostępniane osobom trzecim, chyba że po uzyskaniu zgody użytkownika lub jeżeli wymagają tego przepisy obowiązującego prawa i służą głównie do realizacji zobowiązań wobec użytkowników, obejmujących m.in. dostarczaniem zamawianych pozycji i subskrybowanych wiadomości. Serwisy internetowe, w tym strony www firm i instytucji zapewniają swoim użytkownikom całkowitą anonimowość tak długo, aż sami nie zdecydują inaczej, a także dokonując działań właściwych dla konkretnych usług serwisu , z którymi związana jest konieczność ujawnienia niektórych danych, wówczas ujawniane są tylko hasło oraz login.
 
Strony www wykorzystują również adresy IP użytkowników w diagnozowaniu problemów związanych z pracą serwerów, analizą naruszeń bezpieczeństwa oraz w zarządzaniu stronami www. Adres IP jest ( ale może być ???) wykorzystywany najczęściej do identyfikacji i gromadzenia danych demograficznych od osób odwiedzających witrynę (np. informacje o regionie, z którego nastąpiło połączenie). Informacje te nie powinny być w żaden sposób łączone z danymi osobowymi użytkowników.
  
Wszyscy użytkownicy stron www mają możliwość bezpośredniego kontaktu mailowego z pracownikami poprzez dostępne na stronach www adresy korespondencyjne. Instytucje posiadające taką możliwość przechowują korespondencję ze swoimi użytkownikami dla celów statystycznych oraz jak najlepszej i najszybszej reakcji na pojawiające się zapytania. Jednocześnie gwarantują, że adresy w ten sposób gromadzone nie będą wykorzystywane do komunikacji z użytkownikami w celu innym niż przez niego określony. Ewentualna komunikacja w innych kwestiach może się odbywać tylko za uprzednią zgodą użytkowników.
  
Internet - StatyNa podstawie uzyskanych informacji w szczególnych przypadkach sporządzane są zbiorcze, ogólne zestawienia statystyczne, które mogą być ujawniane osobom trzecim. Obejmują one zwykle informacje dotyczące oglądalności serwisu. Zestawienia te nie zawierają jednak żadnych danych pozwalających na identyfikację pojedynczych użytkowników witryn internetowych.
 
Znacznie rzadziej wykorzystywane są pliki cookies, które ułatwiają korzystanie z zasobów serwisu. Cookies zawierają użyteczne informacje i są przechowywane na komputerze użytkownika - serwery, na których działają serwisy firmowe mogą je odczytać dopiero w momencie ponownego połączenia się z tym komputerem. Wyłączenie informacji cookies w przeglądarce nie pozbawia użytkownika dostępu do zasobów witryny www. Strony www wykorzystują "ciasteczka", aby dostarczać zawartość najbardziej odpowiadającą zainteresowaniom użytkowników oraz w innych celach (np. ustalenia rankingu najczęściej pobieranych programów).
 
Internet - ServisWiele serwisów internetowych wykorzystuje formularze zamówień, który umożliwia klientom złożenie zamówienia na informacje oraz usługi. Formularze te pozwalają na zbieranie informacji kontaktowych od odwiedzających (np. adres poczty elektronicznej użytkowników). Informacje pochodzące z formularzy zamówień są wykorzystywane do realizacji zamówień, wysyłania informacji, np. o ciekawych imprezach, konferencjach, sympozjach. Informacje teleadresowe użytkowników są także wykorzystywane do nawiązywania z nimi kontaktu, jeżeli zaistnieje taka konieczność. W podobny sposób wykorzystywane są dane pochodzące z przeprowadzanych konkursów oraz badań ankietowych.
 
Serwisy internetowe i strony www zaopatrzone są również w środki bezpieczeństwa, mające na celu ochronę danych osobowych przed utratą, niewłaściwym wykorzystaniem i modyfikacją. Zobowiązują się chronić wszelkie informacje ujawnione przez użytkowników zgodnie z normami ochrony bezpieczeństwa i zachowania poufności. Prawa dostępu do danych osobowych użytkowników serwisu zostają w restrykcyjny sposób ograniczone, tak aby informacje te nie znalazły się w rękach osób niepowołanych.
 
Internet  - Bazy danychDostęp do danych osobowo-adresowych powinna mieć tylko ograniczona liczba uprawnionych pracowników obsługujących serwisy na zasadach zgodnych z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
  
Na stronach internetowych powinny być także podane dane do kontaktów, jeżeli użytkownicy mają jakieś pytania dotyczące deklaracji ochrony prywatności, praktyk stosowanych stronie, czy też sposobów utrzymywania z nią kontaktów, najczęściej podawaną osobą do kontaktu jest administrator witryny
 
Podstawowe założenia polityki prywatności:
 
  • zbieranie tylko tych danych osobowych, które zostały przedstawione przez użytkownika,
  • nie wykorzystywanie danych osobowych użytkowników w celach innych niż te, na które wyrażona została zgoda,
  • nie przekazywanie danych osobowych użytkowników podmiotom trzecim, nad którymi dana instytucja nie ma całkowitej kontroli,
  • brak dostępu osób trzecich, nie będących pracownikami danej instytucji do posiadanych przez nią danych osobowych,
  • możliwość wglądu i edycji gromadzonych przez daną instytucję danych osobowych swoich użytkowników,
  • natychmiastowe zaprzestanie przetwarzania danych osobowych użytkowników w przypadku, gdy wyrażone zostanie takie życzenie,
  • ścisłe przestrzeganie Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
  • szybka reakcja na wszelkie zapytania użytkowników i uwagi dotyczące polityki prywatności.
  
 
Bezpieczeństwo z poziomu użytkownika i komunikacji
 
Problem bezpieczeństwa w sieci to ostatnio gorący temat. Jak pisał w 2001r Eric Maiwald:
 
..jest bardzo możliwe, że w najbliższej przyszłości zostaną ustanowione prawa definiujące sposób, w jaki firmy i instytucje powinny obchodzić się z informacjami o klientach. Informacje tego typu nie należą, bowiem do firmy, lecz do samego użytkownika.
 
 ( MAIWALD, E. Bezpieczeństwo w sieci: kurs podstawowy. Kraków: Wydaw. Edition, 2001. s. 199.)
 
W związku z tym instytucje powinny przedsięwziąć odpowiednie kroki chroniące dane przed nieautoryzowanym ujawnieniem. Oczywiście nie chodzi o to, że nie należy ich wykorzystywać, ale należy dopilnować, aby zostały wykorzystane właściwie. Wiele instytucji i firm powiadamia swoich użytkowników w opracowanej przez siebie polityce prywatności, że część lub całość danych może zostać wykorzystana do celów związanych z prawidłowym funkcjonowaniem instytucji czy firmy. Użytkownicy zostają w niej poinformowani również o możliwości nie wyrażenia zgody na jakiekolwiek użycie informacji na temat pozostawionych danych. W rozdziale pierwszym omówione zostały aspekty bezpieczeństwa zagwarantowane ze strony instytucji, natomiast sam użytkownik również może zastosować system odpowiednich zabezpieczeń. Luki po stronie użytkownika są, bowiem najwygodniejszym sposobem obejścia zapory sieciowej wykorzystywanych przez serwery zarówno użytkownika, jak i instytucji. Luki takie są obecne nie tylko w przeglądarkach www, ale również w klientach usług, takich jak: telnet, FTP, IRC, MSN Chat.
  
Bezpieczeństwo od strony użytkownika dotyczy zabezpieczeń od systemu użytkownika do serwera danej instytucji. Ta część systemu obejmuje komputer użytkownika, oprogramowanie do przeglądania Internetu i połączenie komunikacyjne z serwerem
 
 W tej części istnieje kilka problemów:
 
  1. ochrona informacji przepływającej pomiędzy systemem użytkownika a serwerem,
  2. ochrona informacji zapisanych w systemie użytkownika,
  3. ochrona faktu, że dany użytkownik złożył dane zamówienie.
 
Kolejnym ważnym aspektem omówionym w tutaj jest bezpieczeństwo komunikacji. Bezpieczeństwo komunikacji dla aplikacji zamówień/wypożyczeń elektronicznych obejmuje kwestie bezpieczeństwa informacji przesyłanej pomiędzy systemem użytkownika i serwerem instytucji. Może tu chodzić również o cenne informacje, takie jak loginy czy hasła. Może także chodzić o utajnione informacje wysyłane z serwera do systemu użytkownika, jak np. pliki użytkownika.
 
Jest na to tylko jedno realistyczne rozwiązanie: szyfrowanie. Większość standardowych przeglądarek sieci zawiera funkcję szyfrowania przekazu. Jest to ustawienie domyślne w przypadku korzystania z HTTPS zamiast HTTP. W HTTPS zastosowane jest połączenie SSL (Secure Socket Layer) pomiędzy użytkownikiem i serwerem. Cały ruch przechodzący przez to połączenie jest szyfrowany.
 
W tym miejscu powinniśmy poświęcić trochę czasu na omówienie długości klucza SSL. W literaturze fachowej dotyczącej bezpieczeństwa danych w sieci znajdziemy bardziej szczegółowe omówienie algorytmów szyfrowania i długości kluczy. Długość klucza ma bezpośredni wpływ na czas i wysiłek, jaki trzeba włożyć w atak na zaszyfrowany przekaz, a tym samym uzyskanie dostępu do informacji. Zważywszy na ryzyko związane z wysyłaniem cennych informacji przez Internet, szyfrowanie jest zdecydowanie bardzo dobrym rozwiązaniem. Szyfrowanie w HTTPS ochroni informacje od momentu, kiedy opuści ona komputer użytkownika do momentu jej dotarcia do serwera sieciowego. Korzystanie z HTTPS stało się koniecznością, kiedy okazało się, jakie są niebezpieczeństwa tego, że ktoś uzyska np. dostęp do naszych danych przez Internet.
 
Protokoły HTTP i HTTPS nie są zapamiętywane, to znaczy, że po załadowaniu strony www do przeglądarki, serwer nie zapamiętuje, że załadował daną stronę do danej przeglądarki. Jednym ze sposobów, żeby to osiągnąć (to także najpowszechniejszy sposób) jest zastosowanie omówionych w części pierwszej cookies, czyli tzw. ciasteczek.
 
"Ciasteczko" jako mała porcja informacji przechowywana jest w systemie klienta przez serwer sieciowy. Tylko ten serwer, który je umieścił powinien móc je odzyskać, a "ciasteczko" powinno po pewnym czasie stracić ważność (zazwyczaj jest to mniej niż rok). Cookies mogą być zaszyfrowane lub nie. Mogą być również trwałe (tzn. pozostają po zamknięciu przeglądarki przez klienta) lub nietrwałe (tzn. nie są zapisywane na dysku, lecz pozostają w pamięci podczas otwarcia przeglądarki).
 
Pliki cookies mogą dla serwera sieciowego wyśledzić wszystko (przykładowo jedna instytucja może stosować je do śledzenia zamówienia, podczas gdy użytkownik wybiera różne produkty). Inna może stosować je do śledzenia informacji uwierzytelniającej klienta tak, że nie musi się on logować na każdą stronę.
  
Ryzyko związane z "ciasteczkami" dotyczy umożliwienia klientowi, lub komuś innemu posiadającemu dostęp do jego komputera, wgląd w treść "ciasteczka". Jeśli zawiera ono hasła lub inne informacje uwierzytelniające, może to pozwolić nieautoryzowanej osobie na wstęp na stronę.
 
Zarządzanie ryzykiem w tej dziedzinie może odbywać się za pomocą szyfrowania także nietrwałych ciasteczek. Jeśli zamówienie klienta lub informacje dotyczące uwierzytelnienia znajdują się w nietrwałym "ciasteczku", nie zostają one zapisane na dysk systemowym użytkownika. Intruz nadal może uzyskać dostęp do tych danych, umieszczając system pośredniczący pomiędzy klientem i serwerem i tym samym przechwytując "ciasteczko" (odpowiednio je modyfikując). Jeśli jednak ciasteczka są zaszyfrowane, takie przechwycenie staje się niemożliwe.
 
Jednym z obszarów ryzyka związanych z bezpieczeństwem zamówień elektronicznych ze strony użytkownikajest możliwość, że użytkownik zaprzeczy transakcji. Oczywiście, jeśli klient rzeczywiście nie zainicjował transakcji, instytucja nie powinna do niej dopuścić. Jak jednak zdecydować, czy klient naprawdę jest tym, za kogo się podaje? Odpowiedzią jest uwierzytelnianie.
 
 Stosowana metoda uwierzytelniania zależy od ryzyka związanego z pomyłką. W takim przypadku lepiej może zastosować identyfikatory i hasła czy nawet dwuczynnikowe uwierzytelnianie. W każdym z tych przypadków zasady świadczenia usług wysłane do użytkownika powinny wyszczególniać wymogi zabezpieczenia identyfikatora i hasła. Jeśli stosuje się identyfikator i hasło do uzyskania informacji o użytkowniku instytucja zakłada, że informacje udostępniane są uprawnionemu użytkownikowi. Jeśli hasło zostanie zapomniane, zgubione lub ujawnione, należy natychmiast skontaktować się z instytucją
  
Pomimo, że zasady bezpieczeństwa są różne w różnych serwisach należy zawsze pamiętać:
 
  • w każdym serwisie powinny obowiązywać określone zasady bezpieczeństwa,
  • zasady bezpieczeństwa powinny być unikatowe dla danego serwisu,
  • oszacowanie ryzyka polega na określeniu cech systemu i grożących im niebezpieczeństw,
  • zasady bezpieczeństwa powinny koncentrować się na tym, który element należy zabezpieczyć,
  • zasady bezpieczeństwa zapewniają tylko taką ochronę, na jaką pozwala sposób ich wprowadzania i ich przestrzegania,
  • należy zapoznać się z dokumentacją RFC 1244 oraz z zawartością serwisów.
  
Poruszony w tym poście problem bezpieczeństwa i prywatności w serwisach www może nam pomóc zdefiniować, czym jest polityka prywatności stron www oraz odpowiedzieć na pytanie, czemu służy i kogo chroni? Podsumowując, polityka prywatności stron www to zbiór reguł ułatwiających i umożliwiających użytkownikowi bezpieczne korzystanie z odwiedzanego serwisu. Użytkownik zostaje poinformowany, w jakim celu zbierane są jego dane osobowe, w jaki sposób są przechowywane i do jakich celów oraz przez kogo są wykorzystywane.
 
Źródła:
 










środa, kwietnia 02, 2008
 | 


Etykiety:
,

 | 
0 Comments





















Subskrybuj:
Posty (Atom)












































Bloggerized By GosuBlogger. 
Design by Luka Cvrk. Wordpressed by Ego with the help of Gift Baskets. Archived by WP Themes