Rizika webového serveru

[norwi]

Dobry den

Resim problem zda aplikaci, ktera my bezi na localhost, otevrit pro vnejsek.
Nebo aplikaci presunout na server poskytovatele webu.

Je to z duvodu, ze aplikace bude slouzit jako brana pro platbu kartou a musi prijmat odpovedi z banky.
Radsi bych data o platbach mel lokalne, jenze synchonizace databazi neni mozna. Webhosting neumoznuje pristup jinak nez pres PHPAdmina, tedy lokalne.

Potreboval bych zda neznate rizika otevreni apache svetu.
Diky za jakykoli podnet

[Reklama]

[boleq]

Tak pokud "otevřete localhost světu", je z vašeho PC z hlediska třetích stran normální server. Platí tedy stejná pravidla pro bezpečnost, jako při konfiguraci serveru. Stačí zadat do google: "securing web server" nebo tak něco a určitě najdete spoustu rad a tipů, co už byly řečeny tisíckrát...

[mahmood]

V první řadě záleží na tom, jakým způsobem bude komunikace mezi bankou a aplikací fungovat.

Pokud bude aplikace vystupovat pouze v roli klienta, a to ať už pro synchronní nebo asynchronní volání služeb, pak defacto není třeba povolovat přístup z internetu. Konkrétní kroky však záleží na dané aplikaci a zabezpečení síťové infrastruktury.

V případě, že aplikace bude pro aysnchronní volání služeb vystupovat i v roli serveru, bude třeba povolit prostup mezi bankou a vaším serverem. Hlavním předpokladem pro toto je vlastnictví statické veřejné IP adresy. Pokud je banka jediným klientem, který se k Vám má připojovat, pak je nejefektivnější na firewallu (na serveru nebo ideálně na perimetru) povolit přístup pouze z IP adresy banky (němel by být tuto adresu od banky získat). Samozřejmě je vhodné dodržovat i další bezpečnostní zásady v závislosti na operačním systému, webovém serveru...

[norwi]

Mate pravdu, stacilo trochu googlit

Zde je par velmi dobrych rad.
http://www.security-portal.cz/

Dobrou radou je to nastavit na firewallu, coz budu myt na delsi hledani, ale je to dobry napad. Povolit pristup z venku na dany port jen z jedne adresy.

Sice mi to vyvoj aplikace prodlouzi o par dnu, ale stoji to zato.

Diky

[Mirek Prýmek]

Dobrou radou je to nastavit na firewallu, coz budu myt na delsi hledani, ale je to dobry napad. Povolit pristup z venku na dany port jen z jedne adresy.

Sice mi to vyvoj aplikace prodlouzi o par dnu, ale stoji to zato.

Nic ve zlym, ale nemyslite, ze byste tak klicovou vec jako je zpracovani plateb, nemel nechat na nekoho, kdo tomu trochu vic rozumi?

Jestli je povoleni jedne IP na fw pro Vas na delsi hledani a par dnu, je to trochu na povazenou...

[Reklama]

[Lupex]

No, viděl bych to takhle:
1. Vlastní dedikovaný nebo virtuální server v telehousu.
2. Profesionální instalace webserveru s ohledem na bezpečnost.
3.a šifrování disku, popřípadě storage nebo celého VM
3.b šifrování dat v db
4. Před server kvalitní UTM firewall
5. Před webserverem dobře nakonfigurovaný aplikační FW (např. Fortiweb)
6. Neustálá kontrola logů např ossec
7. Úplně samostatná věc je pak kvalita té vlastní www aplikace
 
Bezpečnost hlavně platebních karet je asi celkem ošemetná věc a záleží jak moc do celého systému chcete investovat. V případě prolomení bezpečnosti a úniku dat o platebních kartách a uživatelích to opravdu může přijít velmi draho.

[Mirek Prýmek]

Bezpečnost hlavně platebních karet je asi celkem ošemetná věc a záleží jak moc do celého systému chcete investovat. V případě prolomení bezpečnosti a úniku dat o platebních kartách a uživatelích to opravdu může přijít velmi draho.

Předpokládám, že tazatel má namysli něco ve stylu 3D secure nebo Paysec, takže se k němu údaje o kartách vůbec nedostanou. I tak mi ale přijde doce na pováženou něco takového vytvářet, když se tazatel potřebuje na základní věci ptát na webovém fóru...

Pokud má namysli fakt sbírání čísel kreditek, tak mi z toho jde dost mráz po zádech...

[Jenda]

3.a šifrování disku, popřípadě storage nebo celého VM
3.b šifrování dat v db

Jak pomůže šifrování u virtuálního serveru?!

7. Úplně samostatná věc je pak kvalita té vlastní www aplikace

No právě, „trošku“ bych se bál třeba SQL Injection, XSS, CSRF…

Bezpečnost hlavně platebních karet je asi celkem ošemetná věc a záleží jak moc do celého systému chcete investovat. V případě prolomení bezpečnosti a úniku dat o platebních kartách a uživatelích to opravdu může přijít velmi draho.

Napsal bych to na rovinu, bezpečnost ze strany bank je nulová.

[Lupex]

To je jednoduché, pokud se jedná o virtuální nebo fyzický server, vždy se třeba dá ukrást, u VM je to jednodušší, protože nevíš kdo má přístup na backup storage, pokud to nemáš přímo u sebe. Musíš důvěřovat hostérům a jejich personálu, že si to nepřimountuje z backupu a nevykopíruje kredence a důležitá data nebo neprodá konkurenci celej backup.
 Fyz. server se dá také odnést, třeba odjedeš na dovolenou a neproběhne platba za housing, hoster udělá shutdown a co udělá s daty na jeho HW je jeho věc.
 Já chápu že je to možná přehnané, ale to že jsem paranoidní neznamená, že po mě nejdou.

   Hlavně právní odpovědnost bude na provozovateli aplkace.
   

[andrej]

LOL
https://www.google.sk/search?q=kredence