Веб-дизайн та розробка сайтів

Зі зростанням популярності інтернету веб-простір став потужним інструментом для бізнесу. З розвитком електронної комерції зростають вимоги і до передачі персональних даних і до безпеки проведення фінансових операцій. І це слід враховувати кожному власнику інтернет-магазину, ще під час його розробки.

Проблеми з безпекою електронної комерції стають все вагомішими і якщо врахувати ті суми грошей, які задіяні в інтернет-бізнесі, то очевидною стає потреба серйозного підходу до вживання мір безпеки.

Електронна комерція і електронні платежі випробовують на собі всі типи атак, включаючи специфічні вразливості, наприклад, цінові маніпуляції, вразливості самої природи електронної комерції. І це незважаючи на те, що електронна торгівля використовує зазвичай 128-розрядні SSL-сертифікати.

Пропонуємо декілька простих рекомендацій, дотримання яких підвищить безпеку вашого ресурсу.

Пароль

Пароль завжди повинен бути надійним. І найкращим паролем є випадковий набір різних букв і цифр. Хоча це є досить очевидний, або багато користувачів і до сьогодні надають перевагу «простим» паролям («12345678», «ABCDEFG» і ін..), або ж воліють включати в пароль особисту інформацію, яку легко можна визначити (наприклад, дату народження).  Хорошим засобом для захисту від злому паролю є його періодична зміна.

Електронна пошта

Адреса електронної пошти потрібна для адміністрування сайту. І якщо хакер зламає доступ до вашої електронної скриньки, то впевнено зможе керувати вашим сайтом. Використовуйте не публічні електронні адреси для реєстрації і подальшого управління доступом.

Повертаючись до попереднього пункту, паролі до адміністративної панелі і до вашої скриньки повинні бути різними і не «простими».  І не зберігайте важливі облікові дані для доступу на своїй поштовій скриньці.

Автентифікація

Це процедура перевірки користувача. Наприклад, введений ним пароль буде порівнюватися з паролем в базі даних користувачів. Перевірка користувача може бути як односторонньою так і взаємною. І для повної впевненості в захисті не забувайте про шифрування, що суттєво зменшить ймовірність злому системи в декілька разів.

Для запобігання захвату ідентифікатору сеансу зломщиками реалізуйте на своєму сайті електронної комерції належний механізм автентифікації, який забороняє багаторазові спроби входу на сайт, який не використовує відкриту HTTP-автентифікацію, а взаємодіє через високобітні  SSL чи TLS-протоколи.

Генератор МЕТА-тегів

Сьогодні не існує чіткої стандартизації всіх функціональних можливостей мета-тегів. Вони використовуються для індексації в пошукових системах, створюють заголовки в гіпертекстових документах, впливають на відображення інтернет-сторінки і надають можливість ідентифікувати її авторство. Генератор мета-тегів використовується розробниками в основному для самореклами і нічого корисного не несе. Це всього-на-всього лише додаткове слабке місце для хакерів, а тому не наражайте себе на атаку, не використовуйте цієї функції взагалі.

PCI тестування

Хакери, знайшовши помилки на вашому сайті, зможуть перетворити їх в великі не залатані діри, за допомогою яких зможуть викачувати цінні дані зі сторінок ваших веб-проектів, комерційну інформацію і т.п. Тому регулярно тестуйте, скануйте і перевіряйте на проникнення свої сервери з PCI, і при наявності вразливих місць якнайшвидше «латайте» їх.

Всі ці рекомендації є лише частиною того, на що слід звернути увагу при розробці комерційних сайтів, і не можуть гарантувати повної безпеки проекту для електронної комерції.

Зазвичай основною причиною появи слабких місць на сайті є те, що ця проблема не розглядалася досить уважно вже на етапах проектування і програмування сайту. Добре плануємо, ще раз добре перевіряємо і тільки тоді починаємо реалізацію вашого інтернет-магазину.