Monthly Archive for szeptember, 2007

https

HTTPS (HTTP Secure): biztonságos HTTP, tehát a normál HTTP kommunikációt egy biztonságos módon végzi. Általában bankoknál és egyéb pénzintézeteknél, online fizetésnél és egyéb helyeken használt módszer a látogatók, felhasználók adatainak védelme érdekében. Szükséges-e ezt Nektek is nyújtani az ügyfelek felé?

Két alapvető funkciót valósít meg:

  • adattitkosítás
  • hitelesítés

Adattitkosítás
Célja, hogy garantált legyen, hogy a kiszolgáló és a böngésző közötti kommunikáció titkosítva történjen, így az ne legyen lehallgatható vagy módosítható.

A https kommunikáció egy védett csatornán zajlik, nem nyújt védelmet, ha a végpontokon történik a “lehallgatás”, tehát például a kliens gépen egy nem kívánt program fut!

Erre ritkán van szükség, leginkább olyan esetben, ha bizalmas adatait kezelitek egy ügyfélnek (például online fizetés esetén a bankkártya számok). Viszont ritkán olvasni arról, hogy visszaélés történne egy közbenső ponton, inkább egy munkaállomásra települt kémprogramok jelent veszélyt.

Hitelesítés
Cél, hogy a szerver és/vagy kliens azonosított legyen. Egy szerver hitelesítését egy külső intézmény, a tanúsítványt kiállító szervezet végzi.

Ez olyan esetben szükséges, ha fontos a látogatóidnak, hogy a szerveredről meg tudják állapítani, hogy tényleg a Tietek. Bankoknál ez elengedhetetlen, egyéb esetekben ritka, hogy erre szükség lenne.

A két funkció és annak tényleges megvalósítása nagyon fontos! Csak azért ne csináljatok https siteot, mert az jól hangzik! (És amennyiben szükséges egy szolgáltató, aki ezt biztosítani tudja, keressetek minket! 🙂 )

Szoftverfrissítések

Mára már (szerencsére) nagyjából általános és elfogadott a Windowsupdate használata. Tehát az üzemeltetők tisztában vannak a frissítés fontosságával. Ez általában elég jól automatizálható, tehát a munkaállomások és szerverek folyamatos naprakészen tartása megoldott.

Viszont az egyéb alkalmazások frissítése még esetleges. Vannak programok (pl: Firefox), amelyek gondoskodnak arról, hogy figyelmeztessék a felhasználót, ha elérhető egy új verzió és segítenek annak egyszerű telepítésében. Természetesen más programok nem foglalkoznak még a kérdéssel.

Pedig fontos! Ma már nem csak egy operációs rendszer vagy böngésző sérülékenység kihasználásával „kompromittálnak” egy gépet, hanem egyéb komponens is alkalmas lehet rá. (Például nem lepődnék meg egy PDF fájlon, ami az Adobe Reader hibáját próbálná kihasználni. Egy ilyen e-mailben terjedve, egész érdekes eredményeket érhetne el.)

Napokban teszteltem egy programot, ami kigyűjti, hogy a telepített programok közül, melyik naprakész, nem biztonságos vagy frissítésre szoruló. Bár maga a program még béta, de érdemes kipróbálni. Otthoni felhasználásra ingyenes: Secunia Personal Software Inspector, de van vállalati verziója is (amiért már fizetni kell).

Meglepett, hogy még nekem is voltak elavult verziójú szoftvereim telepítve (bár én mániákusan frissítem a gépeimet). A flash lejátszóból, Opera böngészőből és egy-két segédprogramból volt régi verzióm telepítve.

A javító csomagokat és az új verziókat (ami még nem fizetős), amúgy is érdemes installálni. Ezek a biztonsági javítások mellett, gyorsabbak lehetnek és esetleg bővített funkcionalitásuk van.

Ti is legyetek mindig naprakészek!

Web oldal, technikai tippek

Web oldallal kapcsolatos három, de kicsit összetartozó részletre szeretném felhívni a figyelmedet.

1. Ha több domainetek van (például bizonyos kulcsszavakat tartalmazó domain neveket is regisztráltatok), akkor ezeket át kell irányítani a normál web oldalatokra vagy annak egy aloldalára. Nem jó, ha ezekre az egyéb domain nevekre is egyszerűen feljön az oldal tartalma. (Onnan lehet ezt megkülönböztetni, hogy az átirányítás esetén a címsor változni fog.)

2. Az átirányítás egy speciális esete a www és nem www esete. Van, aki azt szereti, ha az oldala a www.sajatdomain.hu, van aki a http://sajatdomain.hu–t preferálja. Én az utóbbit, de a lényeg, hogy el kell döntenetek és ennek megfelelően az egyiket a másikra irányítani. Erre azért van szükség, mert amúgy a kettő is különböző oldal és a keresők nem szeretik, ha egy tartalom több címen is elérhető.

3. Ha az oldalatokon egy olyan linket írnak be, ami nem létező oldalra mutat, akkor un. 404-es hibát generál a web szerver. Ahelyett, hogy a sztenderd semmitmondó hibaüzenet jelenik meg, érdemes a saját oldalatoknak megfelelően konfigurálni és segíteni a látogatókat, hogy megtalálják, amit keresnek. Tehát kiírni a hiba okát és oldaltérképpel vagy egyéb megoldással elvezetni az őt érdeklő információhoz.

Kiegészítés vírus témában

Különös aprópója az előző bejegyzésemnek a ma frissen megjelent Skype-on terjedő vírus. Ma már az azonnali üzenetküldő programokon (Messenger, Skype, stb.) keresztül is szívesen terjesztik a vírusokat. Ha használtok ezek közül valamelyiket, akkor még egy indok egy antivírus program telepítésére!

Néhány gondolat a víruskereső programokról

Régebben (internet előtti időkben) a vírusok floppykon keresztül terjedtek, mára már jellemzően az interneten át. Bár ennek több módja van, irodai felhasználóknál jellemzően két forrást lehet említeni: e-mailek és web oldalak. Az e-mail vírusok a szerveren hatékonyan szűrhetőek. A böngészőn keresztüli veszélyek ellen is van lehetőség egyszerű eszközökkel védekezni: az operációs rendszer és felhasználói programok folyamatos frissítése és alternatív böngésző program használata. Betartva ezeket, már elég érvnek tűnhet, hogyha elfogadjuk, hogy a felhasználók nem látogatnak „olyan” oldalakat. (Magyarul alapvetően üzleti oldalakat látogatnak, ami a munkájukhoz kell.)
Miután ezeket az oldalak megbízhatónak tekinthetőek, ezért felmerült a jogos kérdés, hogy szükséges-e víruskereső a munkaállomásokra?
Bár én mindig is inkább rábeszéltem az ügyfeleket, de én is mindig szívesen játszottam el a gondolattal. 🙂

Aztán nemrégen egyik ügyfelünk web oldalát megnézve jelzett a víruskeresőm és meglepő módon kiderült, hogy tényleg ártalmas kód van a lapon! Ez igen meglepett! Végül a következőt sikerült kiderítenünk:
Nem csak az oldalt készítő programozó tudta a hozzáférés jelszavát, mivel pár éve kiadta egy munkatársának, aki otthonról is dolgozott vele és azóta is el volt tárolva a gépen, amin egy elavult víruskereső volt és vírusos lett.

Ezt egy olyan vírus volt, ami a gépen tárolt FTP jelszavakat jutatta el a készítőknek. (Ezeket, például a népszerű Windows Commander eltárolt jelszavai közül nyerte ki.) Valószínűleg ez elküldte a jelszót, aminek segítségével módosították az oldalt, hogy bekerüljön az ártalmas kód is.

Tanulságok:

  • Még az FTP a jelszavakat is időnként meg kell változtatni, főleg ha azt külső partnernek is kiadtátok! Egy lezárt munka végén érdemes azt módosítani!
  • Ha úgy gondolod, hogy nem szükséges a munkaállomásokra egy víruskereső program, akkor a fenti történet győzzön meg, hogy igenis kell!

Megjegyzések:

  • A fentiben kicsit leegyszerűsítettem a vírusok terjedésének lehetőségeit. Természetesen sok egyéb módon is be lehet szedni azokat!
  • Bármilyen más, a pc-n eltárolt jelszó is összegyűjthető hasonló módon, például a böngészőben eltárolt jelszavak!

Információ vagy marketing

Rövid időn belül három alkalommal történt meg velünk, hogy egy cég web oldalán nem találtuk meg a szükséges információt és ezért feleslegesen mentünk el valahova.

1. Kávézó
Pár hete szerettünk volna elmenni reggelizni. A web oldalon nem volt kiírva a nyitvatartás, így telefonon felhívtam őket, ahol azt a felvilágosítást kaptam, hogy 8-kor nyitnak. Odamentünk és kiderült, hogy 10-kor. Ezt meg is írtam e-mailben a cégnek, amire felvilágosítottak, hogy sok volt a személyi változás és elnézést kértek. Ha eleve kint lett volna az információ az oldalon, akkor megspóroltak volna nekünk egy felesleges utat.

2. Torna
Feleségem jár tornázni, ami tegnap betegség miatt elmaradt. Indulás előtt megnézte a web oldalt a pontos időpont miatt, mivel az változó. Ha ki lett volna írva a betegség, akkor nem ment volna el feleslegesen.

3. Bútorbolt
Ma terveztük, hogy elemegyünk nézelődni egy bútorboltba. Megnéztük a nyitvatartást, odamentünk. (Jó messze volt.) Kiderült, hogy szeptember 10-ig zárva. Az sem biztos, hogy lesz kedvem ismét elmenni…

Persze a web oldal fő célja általában a marketing, de nem szabad elfelejteni az alapvető információkat biztosítani az érdeklődőknek!