Kup ksik

Pole ksik
Oce ksik
Ksigarnia internetowa
Lubi to! Nasza spoeczno
WszeIkIe pruwu zusLrzeone. NIeuuLoryzowune rozpowszecInIunIe cuIocI
Iub IrugmenLu nInIejszej pubIIkucjI w jukIejkoIwIek posLucI jesL zubronIone.
WykonywunIe kopII meLod kserogruIIczn, IoLogruIIczn, u Luke kopIowunIe
ksIkI nu nonIku IIImowym, mugneLycznym Iub Innym powoduje nuruszenIe
pruw uuLorskIcI nInIejszej pubIIkucjI.
WszysLkIe znukI wysLpujce w LekcIe s zusLrzeonymI znukumI IIrmowymI
bd LowurowymI IcI wIucIcIeII.
AuLor oruz WyduwnIcLwo HEON doIoyII wszeIkIcI sLuru, by zuwurLe
w Lej ksIce InIormucje byIy kompIeLne I rzeLeIne. NIe bIor jednuk udnej
odpowIedzIuInocI unI zu IcI wykorzysLunIe, unI zu zwIzune z Lym ewenLuuIne
nuruszenIe pruw puLenLowycI Iub uuLorskIcI. AuLor oruz WyduwnIcLwo HEON
nIe ponosz rwnIe udnej odpowIedzIuInocI zu ewenLuuIne szkody wynIkIe
z wykorzysLunIu InIormucjI zuwurLycI w ksIce.
AuLorzy: eszek Kpu, PuweI TomusIk, SebusLIun DobrzyskI
RedukLor prowudzcy: Burburu Guncurz-WjcIcku
ProjekL okIudkI: Jun PuIucI
oLogruIIu nu okIudce zosLuIu wykorzysLunu zu zgod SIuLLersLock.
WyduwnIcLwo HEON
uI. KocIuszkI 1c, qq-1oo GWCE
LeI. z z1 zz 1q, z zo q8 6
e-muII: RQHSUHVV#RQHSUHVVSO
WWW: KWWSRQHSUHVVSO (ksIgurnIu InLerneLowu, kuLuIog ksIek)
DrogI CzyLeInIku!
JeeII cIcesz ocenIc L ksIk, zujrzyj pod udres
KWWSRQHSUHVVSOXVHURSLQLHEH]VHF
Moesz Lum wpIsuc swoje uwugI, sposLrzeenIu, recenzj.
SBN: q;8-8-zq6-8;-q
CopyrIgIL HeIIon zo1z
PrInLed In PoIund.
SPIS TRECI
PRZEDMOWA 9
WSTP 15
Podstawowe informacje o e-commerce 18
Czego chc cyberprzestpcy? 21
Podstawy bezpieczestwa 24
1. PRAWO WOBEC E-COMMERCE 33
Jakie prawo dotyczy e-handlu? 34
Regulamin serwisu 37
wiadczc usugi drog elektroniczn 54
Przetwarzanie danych osobowych 57
Zawarcie umowy midzy stronami 60
O czym naley informowa 65
Kodeks spek handlowych 72
Prawo wobec cyberprzestpcw 72
2. BEZPIECZESTWO OGLNE 77
Informacje o systemie 78
Zapasowe kopie danych 82
3. BEZPIECZNY HOSTING 89
Hosting czy wasny serwer? 89
DirectAdmin 90
4. ZABEZPIECZENIA SERWERA WWW 97
Zabezpieczenia hosta 98
Zabezpieczenia Apache 102
Kup ksik Pole ksik
6 | B E Z P I E CZ E S T WO S Y S T E MU E - COMME R CE
Konfiguracja PHP 108
Zabezpieczenie kodu PHP 116
Przegldanie logw 117
Obsuga komunikatw 403, 404 etc. 118
Zabezpieczanie plikw konfiguracyjnych 119
Tripwire 120
Obrona przed atakami DoS Fail2ban 122
5. BAZA DANYCH 125
Poczenie z baz 128
Szyfrowanie danych 130
6. BEZPIECZNA TRANSMISJA DANYCH 133
Dlaczego warto szyfrowa? 136
Szyfrowanie komunikacji webowej 137
A jeli nie ma szans na SSL? 153
Komunikacja przez e-mail 154
Administrowanie poprzez sie 156
Integralno danych podczas transmisji 159
7. IDENTYFIKACJA STRON W BIZNESIE 165
Wiarygodny sprzedawca 166
Zidentyfikowany uytkownik 168
8. KONTA I HASA 177
Data wprowadzenia danych 177
Hasz zamiast hasa 179
Provisioning zakadanie konta 184
Cookies 185
Sesje w aplikacji 189
Sprawdzanie, czy poczenie odbywa si po SSL 195
Autoryzacja transakcji 196
9. ZABEZPIECZENIA KODU APLIKACJI 197
Specyfika jzyka 198
Jak przesya dane GET czy POST? 198
Walidowanie danych przesyanych do serwera 201
Zabezpieczenia przed automatami 208
Kup ksik Pole ksik
S P I S T R E CI | 7
SQL injection 212
File inclusions 222
Ataki XSS 226
Ataki CSRF i XSRF 230
HTTP_REFERER 232
Badanie kodu PHP 233
10. KODOWANIE DANYCH 235
ZAKOCZENIE 239
O AUTORACH 240
Kup ksik Pole ksik
8 | B E Z P I E CZ E S T WO S Y S T E MU E - COMME R CE
Kup ksik Pole ksik
Rozdzia 2.
BEZPIECZESTWO OGLNE
Wspomnielimy ju wczeniej, e zagadnienie bezpieczestwa
systemu e-commerce jest zoone. Skada si na nie:
x bezpieczestwo fizyczne serwerw, na ktrych znajduje si apli-
kacja, serwer WWW, baza danych itd.;
x zabezpieczenie systemw operacyjnych, w ktrych s zainsta-
lowane aplikacja, serwer WWW i baza danych;
x takie bezpieczestwo transmisji, aby danych w trakcie przesy-
ania nikt nie podsucha ani nie zmieni;
x bezpieczestwo serwera DNS i domeny to, eby nikt nie
ukrad nazwy internetowej serwisu ani nie przekierowa ruchu
do innego, podrobionego systemu;
x bezpieczestwo aplikacji, a wic takie jej utworzenie, aby nie
mona byo ni manipulowa;
x cigo dziaania, tj. takie zorganizowanie systemu i uzyskanie
takiej jego odpornoci, aby nawet mimo ataku mg on dalej
funkcjonowa lub wznowi aktywno;
x bezpieczestwo organizacyjne, czyli procesy zwizane z admi-
nistrowaniem aplikacj, zarzdzanie zmianami i wszystko to,
co jest dookoa systemu, a ma na niego (znaczcy) wpyw;
x bezpieczestwo prawne, a wic zarzdzanie stanem zgodnoci
z prawem.
Kup ksik Pole ksik
7 8 | B E Z P I E CZ E S T WO S Y S T E MU E - COMME R CE
Tutaj chcemy przedstawi najoglniejsze zagadnienia zwiza-
ne z bezpieczestwem systemu e-commerce.
INFORMACJE O SYSTEMIE
Zapewne nieraz si zastanawiae, jak to si dzieje, e haker w kocu
dopada okrelon witryn. Mog by tego dwa gwne powody.
Pierwszy moe by taki, e witryna jest sabo zabezpieczona i stanowi
dla hakera atwy up bdzie on mg jej zhakowanie wpisa do
ewidencji swoich sukcesw. Drugi to celowy atak na wanie ten,
a nie inny serwis. Na pewno jednak nieodcznym elementem
kadego ataku jest rekonesans, czyli rozpoznanie. Odbywa si to
zupenie tak jak w realu zanim zodziej przystpi do dziaania,
obserwuje i zbiera informacje. Kada informacja moe by
dla hakera przydatna, a szczeglnie o:
x systemie operacyjnym (rodzaj, wersja, uruchomione programy
i usugi);
x bazie danych (rodzaj i wersja);
x kodzie aplikacji;
x chronionych czciach aplikacji;
x konfiguracji i zabezpieczeniach systemu.
Znajomo wersji oprogramowania pozwala hakerowi znale
luki w zabezpieczeniach przy odrobinie szczcia moe on trafi
na wersj, w ktrej nie zostay one zaatane. Do wyszukania luk za-
bezpiecze w okrelonej wersji oprogramowania haker moe uy
np. bazy CVE
1
. Ty z niej korzystasz, aby wiedzie, co jest dziurawe,
i eby to zaktualizowa, a cyberprzestpcy uywaj jej, aby mie in-
formacje o tym, jakie systemy (i jakie ich wersje) choruj, s po-
datne na atak.

1
https://cve.mitre.org/
Kup ksik Pole ksik
B E Z P I E CZ E S T WO OGL NE | 7 9
Wiedza o rodzaju bazy danych pozwala z kolei dostosowa ata-
ki polegajce na wstrzykiwaniu kodu SQL ju sama ta informacja
jest istotna, bo niektre ataki s specyficzne dla rodzaju bazy da-
nych, np. dziaaj w przypadku PostgreSQL, ale nie z MySQL.
Nawet rodzaj jzyka, w ktrym napisano aplikacj, ma znaczenie.
Sprawdmy, jak moe wyglda atak cyberprzestpcy, ktry
dla zabawy chce sprbowa swoich si w hackingu. Pierwsze, co moe
on zrobi, to wpisanie w wyszukiwarce cigu sql dorks. Oto przy-
kadowe cigi tego typu:
allinurl:showimg.php?id=
allinurl:view.php?id=
allinurl:website.php?id=
allinurl:hosting_info.php?id=
allinurl:gallery.php?id=
Haker kopiuje i wkleja jeden z nich do wyszukiwarki, a nastpnie
otwiera strony bdce wynikami wyszukiwania i przeprowadza re-
konesans. Najatwiej jest zacz od sprawdzenia, czy dany cig (okre-
lany mianem SQL dorka) zadziaa. Przykadowo http://www.
witryna.com/gallery.php?id=1 zawiera SQL dork gallery.php?id=.
Wystarczy w pasku adresowym na kocu doda znak apostrofu
i w wyniku otrzymujemy:
Fatal error: Uncaught exception 'Exception' with message 'SQL Query
failed: SELECT image,title,location,description,height,width from
tblSCAImages WHERE id=83\\\'You have an error in your SQL syntax; check
the manual that corresponds to your MySQL server version for the right
syntax to use near '\\\'' at line 1' in
/home/sca/wwwlib/gallery_lib.php:16 Stack trace: #0
/home/sca/www/gallery.php(21): sca_gallery_get_image_meta('83\'') #1
{main} thrown in /home/sca/wwwlib/gallery_lib.php on line 16
Mamy tu informacje o bdach i ju co wiemy o witrynie
wiemy, e jest to MySQL, a take o nazwach tabel i ich kolumn,
o funkcjach PHP, a nawet o systemie plikw. To si przyda.
Sprawdmy, jak witryna internetowa zareaguje na wpisanie bdnego
Kup ksik Pole ksik
8 0 | B E Z P I E CZ E S T WO S Y S T E MU E - COMME R CE
adresu strony http://www.witryna.com/coscokolwiek. Tu te otrzy-
mujemy komunikat:
Not Found
The requested URL /coscokolwiek was not found on this server.
Apache/2.2.3 (CentOS) Server at www.allspeedperformance.com Port 80
Znamy ju wersj serwera Apache. Zobaczmy jeszcze, jakie
czci witryny s chronione. Wpiszmy http://www.witryna.com/
robots.txt. Otrzymamy:
User-agent: *
Disallow: /checkout/
To tylko przykad tego, jak mona zacz. Dalej mona grze-
ba w cookies, uy programu sqlmap, rcznie wstrzykiwa kod
Moliwoci jest wiele. To pokazuje, e ujawnianie zbyt wielu infor-
macji moe dziaa na szkod systemu, bo pozwala przeprowadzi
rekonesans. Dla hakera moe by przydatna w zasadzie kada infor-
macja, zadbaj wic o to, aby nie wypuszcza na zewntrz komuni-
katw o bdach wraz z ich detalami oraz informacjami o wersji
oprogramowania. Pozwala to hakerowi odnale sabe punkty da-
nej wersji.
Jak wprowadzi hakera w bd
Uwaamy, e skoro podstaw atakw jest rekonesans, to moe warto
atakujcego wyprowadzi w pole. Gdy wida wyranie, e co jest
porzdnie chronione, to pewnie jest warte tego, aby to ukra.
Mona to wykorzysta do stworzenia puapki na cyberprzestpc.
Bdzie on dugo ama zabezpieczenia, aby w efekcie uzyska do-
stp do nic nie wartych informacji lub uruchomi alarm informujcy,
e dzieje si co zego. Takie rozwizanie nazywa si z angielskiego
honeypot. Tak puapk mona przykadowo zastawi, korzystajc
z pliku robots.txt, ktry suy do zezwalania na indeksowanie lub
Kup ksik Pole ksik
B E Z P I E CZ E S T WO OGL NE | 8 1
do wykluczania z indeksowania tych czci witryny, na ktrych
przeszukiwanie nie chcemy pozwoli tzw. robotom (np. botowi in-
deksujcemu strony dla Google). Plik ten znajduje si w roocie (ka-
talogu gwnym) witryny, np. http://ecommerce/robots.txt. Mona
go uy do zmylenia przeciwnika, wpisujc w nim faszywe odnie-
sienia, a nastpnie monitorowa te faszywie podstawione punkty.
User-agent: *
Crawl-delay: 10
Disallow: /strona_administracyjna/
Disallow: /admin_password.txt
Inn moliwoci wkrcania atakujcego jest wprowadzanie go
w bd co do wykorzystanego oprogramowania. Przykadowo po
zmianie rozszerzenia i nagwkw kod PHP moe udawa inny kod:
<?php
error_reporting(0);
header("X-Powered-By: ASP.NET");
?>
Naley wtedy jeszcze pamita, aby korzystajc z session_name(),
ustawi nazw sesji na przykad na SessionID, poniewa domylne
PHPSESSID od razu wskazuje na PHP.
Rewrite
Parametry kategorii, subkategorii i rozmaitych podstron wystpujce
w adresie URL mona z atwoci ukry, korzystajc z mod_rewrite
2
.
Jeli Twj system prezentuje adres w postaci http://strona/news.
php?kategoria=10&rodzaj=4, to mona to zmieni, zapisujc przy-
kadowo w .htaccess
3
na serwerze nastpujcy cig:

2
Coraz czciej pojawiaj si opinie, e modu ten umiarkowanie wpywa
na bezpieczestwo, dlatego trzeba mie zainstalowan aktualn wersj
i stosowa go ostronie.
3
Nazwa pliku .htaccess zaczyna si od kropki. Obecno kropki na po-
cztku nazwy pliku (lub folderu) oznacza, e jest to plik (folder) ukryty.
Kup ksik Pole ksik
8 2 | B E Z P I E CZ E S T WO S Y S T E MU E - COMME R CE
RewriteEngine On
RewriteRule ^([a-z0-9-_]+),([a-z0-9-_]+),([a-z0-9-_]+).html$
$1.php?kategoria=$2&rodzaj=$3 [L,NC,NS]
Zmienne $ z cyfr odpowiadaj poszczeglnym nawiasom regu-
ki, natomiast ^ rozpoczyna, a $ koczy wyraenie regularne. Jesz-
cze ciekawszy wydaje si zapis
RewriteRule ^artykul/([0-9]+)_(.*)\.html$ articles.php?id=$1
W tym przykadzie /artykul/24_wielka_wojna i /artykul/24_protesty_
acta zostan zamienione na /articles.php?id=24 (odniesienie $2
jest ignorowane). Jak widzisz, jeli dobrze wykorzystasz ten modu,
to cigi sql-dork nie bd w serwisie widoczne.
ZAPASOWE KOPIE DANYCH
Znamy osoby, ktre piszc prac magistersk, nie wykonay zapa-
sowej kopii danych. Po stracie plikw (procznej pracy) musiay
napisa j w cigu miesica. W takich przypadkach zwyklimy
artowa, e ludzie dziel si na tych, ktrzy robi kopie za-
pasowe, i na tych, ktrzy bd je robi. Bezpowrotna utrata
danych jest jedn z najgorszych rzeczy, jakie si mog przedsi-
biorcy przydarzy moe to prowadzi nawet do bankructwa. Skra-
dzione komputery mona kupi, a danych niestety nie. W tej materii
wiadomo nie jest jednak zbyt wysoka, a sam temat kopii zapaso-
wych (zwanych backupami) staje si wany dopiero wtedy, gdy co
si wydarzy. Tak samo jest w przypadku systemw e-commerce,
szczeglnie tych maych i rednich. Tymczasem cigy i poprawny
proces wykonywania kopii zapasowych oraz testowania, czy da si
z nich odtworzy dane konieczne do prowadzenia biznesu, pozwala
zminimalizowa ryzyko ich bezpowrotnej utraty. Wiedz to bez
wtpienia ci, ktrzy interesuj si zagadnieniami zachowania ci-
goci dziaania (tzw. BCM
4
).

4
BCM ang. business continuity management.
Kup ksik Pole ksik
B E Z P I E CZ E S T WO OGL NE | 8 3
W jakiej sytuacji kopia danych moe si przyda? Chyba najle-
piej odpowiedzie, e w kadej:
x awaria urzdze (najczciej ulegaj jej noniki danych dys-
ki twarde);
x bd ludzki, czyli utrata danych w wyniku niecelowego dziaa-
nia pracownika (co si niechccy usuno);
x sabota utrata danych w wyniku celowego szkodliwego
dziaania na przykad niezadowolonego pracownika;
x dziaanie wirusw (oprogramowania zoliwego), ktrych celem
moe by usunicie bd zaszyfrowanie danych, aby uniemo-
liwi do nich dostp;
x atak hakerw, czyli celowe usunicie, zmodyfikowanie czy znisz-
czenie danych.
x kradzie sprztu i utrata nonikw danych;
x zdarzenie losowe uszkodzenie sprztu w wyniku przepicia,
zalania itp.
Jedno z praw Murphyego mwi, e jeli co moe pj le, to
z pewnoci pjdzie le, wic nie ma co liczy, e nic si nie zda-
rzy. Na pewno si zdarzy to tylko kwestia czasu.
Co naley backupowa?
Przede wszystkim wykonuje si kopie zapasowe danych bizneso-
wych. Bd to bazy danych, pliki i katalogi serwisu e-commerce.
W przypadku hostingu zajmuje si tym hostingodawca, ale jeli ser-
wery s w caoci pod Twoim wadaniem, to zadanie to spada na
Ciebie (rysunek 2.1).
Jeli zarzdzasz caym systemem, niezbdny bdzie backup
konfiguracji aplikacji, bazy danych, systemw operacyjnych czy
te urzdze sieciowych.
Kup ksik Pole ksik
8 4 | B E Z P I E CZ E S T WO S Y S T E MU E - COMME R CE
Rysunek 2.1. Hosting moliwo wykonania samodzielnie
backupu z poziomu panelu hostingowego (DirectAdmin)
To, jak czsto naley wykonywa zapasow kopi danych biz-
nesowych, zaley od systemu i jego specyfiki. Trzeba odpowiedzie
sobie na pytanie o to, z jakiego okresu dane mog zosta utracone.
Jeli serwis jest mao aktywny, to zapasowa kopia danych wyko-
nywana raz na tydzie te moe by dobra, jednak w przypadku
aktywnych systemw na pewno powinna ona by tworzona co-
dziennie. Pamitaj, e serwisy pracujce w klastrze to nie
backup; nie stanowi go te np. disk mirroring.
Dane dotyczce konfiguracji mona backupowa nieco rza-
dziej, ale naley to robi przed kad zmian i po niej.
Kup ksik Pole ksik
B E Z P I E CZ E S T WO OGL NE | 8 5
Jeli chodzi o hosting, to wikszo hostingodawcw jeli nie
wszyscy tworzy zapasowe kopie danych i udostpnia je uyt-
kownikowi (rysunek 2.2).
Rysunek 2.2. Backup danych dostpny w usudze hostingu
W wikszoci przypadkw dostpny jest take backup na -
danie. Przydaje si on na przykad przed dokonaniem w serwisie
istotnych zmian, ktre s na tyle ryzykowne, e lepiej zapewni
sobie kopi. Operacj tak jest choby aktualizacja systemu czy
zmiana struktury bazy danych. System informatyczny to nie czo-
wiek wikszoci operacji nie powinno si wykonywa na y-
wym organizmie.
Kopia zapasowa moe by niewiele warta, jeeli okae si, e
zostaa nieprawidowo wykonana, dlatego okresowo naley spraw-
dza, czy w kopii zapisane s potrzebne dane i czy da si je odtwo-
rzy. Za bardzo wane uwaamy to, aby backup by przechowywany
take poza siedzib firmy, nawet w domu, jeli zostan zapewnione
odpowiednie warunki. Dziki temu w przypadku duej awarii bdzie
Kup ksik Pole ksik
8 6 | B E Z P I E CZ E S T WO S Y S T E MU E - COMME R CE
moliwe szybkie odtworzenie systemu na przykad na innym sprzcie
i (lub) w innej lokalizacji.
Kopia zapasowa danych zawiera wszystko to, co jest w orygi-
nalnym rodowisku e-commerce, wic mogaby by cenn zdoby-
cz dla konkurencji. W zwizku z tym backup powinien by chro-
niony na poziomie nie niszym ni sam system e-commerce.
Dostp do niego powinny mie tylko wybrane osoby. Dobrze by byo,
aby dane na nonikach byy szyfrowane, szczeglnie jeeli maj
by one przechowywane w domu. Zapewnienie tego jest akurat
proste, bo cay backup mona zabezpieczy hasem:
~# gpg -c backup.tar #zaszyfrowanie
~# gpg backup.tar.gpg #odszyfrowanie
Nawiasem mwic, polecenie gpg domylnie kompresuje dane
przed szyfrowaniem. Wystarczajce jest te spakowanie danych do
pliku ZIP i zabezpieczenie go hasem. Dziki temu jest mae ryzy-
ko, e dane, za pomoc ktrych mona by utworzy duplikat fir-
my, wpadn w niepowoane rce.
Warto te zauway, e do zabezpieczania plikw mona uy
pakietu openssl. Przykadem s nastpujce polecenia do szyfro-
wania i (pniej) odszyfrowywania danych:
~# openssl aes-128-cbc -salt -in plik.tar -out plik.tar.aes
enter aes-128-cbc encryption password:
Verifying - enter aes-128-cbc encryption password:
~# openssl aes-128-cbc -d -salt -in plik.tar.aes -out plik.tar
Mona te zrobi to nieco inaczej starowa katalog, spa-
kowa do pliku ZIP, pniej zaszyfrowa:
~# tar -zcf - caly_katalog | openssl aes-128-cbc -salt -out
caly_katalog.tar.gz.aes
a w kocu odszyfrowa:
~# openssl aes-128-cbc -d -salt -in caly_katalog.tar.gz.aes | tar -xz -f
-
Kup ksik Pole ksik
B E Z P I E CZ E S T WO OGL NE | 8 7
Nie zalecamy uywania opcji -k "haso" po wyraeniu aes-128-cbc
wtedy co prawda unikamy interaktywnego pytania o haso, ale
prowadzi to do zapisania go na przykad w pliku .history
5
. Mona
te uy aes-256-cbc zamiast aes-128-cbc, jeli jest potrzebne silniejsze
szyfrowanie, ale naszym zdaniem rzadko kiedy jest to konieczne.
Mwilimy o backupie wszystkich danych, ale moe si te
zdarzy, e pracujc na pojedynczych plikach (np. kodzie PHP),
bdziesz w trakcie ich modyfikacji tworzy podrczne kopie zapaso-
we. Chodzi nam o ywy organizm, tj. dziaajcy system e-commerce.
Przykadowo edytujc plik dbconnect.inc, moesz zrobi kopi te-
go pliku i zapisa j jako dbconnect.inc.old. Jest to bardzo niebez-
pieczne, gdy moe si okaza, e o ile pliki *.inc serwer moe bloko-
wa przy uyciu dyrektywy <Files "*.inc">, to moe tego nie robi dla
plikw *.old czy *.backup. Wtedy atakujcy bdzie mg je odczyta
przez przegldark, wpisujc na przykad adres http://ecommerce/
dbconnect.inc.old. Powiniene wic doda do konfiguracji webserwe-
ra odpowiedni dyrektyw i konsekwentnie trzyma si nazewnic-
twa takich backupw tymczasowych (podrcznych).
Backup hase
Haso mona zapomnie, wic je te warto w pewien sposb bac-
kupowa, czyli zapisywa. Najlepiej uy to tego oprogramowania
nie zalecamy przechowywania hase w postaci jawnej w note-
sach, na tych karteczkach etc. Korzyci zwizane z ich zapi-
sywaniem z uyciem elektronicznego sejfu s do due moesz
tworzy unikalne, zoone hasa dla kadego serwisu i nie przej-
mowa si tym, e je zapomnisz. Elektroniczny sejf to po prostu
zaszyfrowany plik z hasami; pisalimy ju wczeniej o programie
KeePass. Musisz mie jego backup! Najlepiej mie ich kilka

5
W pliku .history przechowywana jest historia wszystkich polece wy-
dawanych w oknie terminalu.
Kup ksik Pole ksik
8 8 | B E Z P I E CZ E S T WO S Y S T E MU E - COMME R CE
i w rnych miejscach wtedy prawdopodobiestwo jednocze-
snej utraty ich wszystkich jest niewielkie.
Piszemy o tym, bo przy tworzeniu hasa na przykad do po-
czenia z baz systemu e-commerce niekiedy brakuje nam fantazji.
KeePass wymyli haso za Ciebie (rysunek 2.3), a poniewa jed-
noczenie je zachowa, nie bdziesz musia przejmowa si tym,
jakie ono jest, i bdziesz mg pozwoli sobie na to, by byo hard-
coreowe dugie i wrcz niemoliwe do zapamitania. Zalecamy,
aby tworzy z uyciem tego programu przede wszystkim hasa
administracyjne (a najlepiej wszystkie).
Rysunek 2.3. Generowanie hase przy uyciu programu KeePass
Na koniec warto jeszcze wspomnie o tym, e plik z hasami
powinien by zabezpieczony porzdnym hasem i przechowywany
poza serwerem, na ktrym znajduje si Twoja aplikacja.
Kup ksik Pole ksik
Czytaj dalej...
Kup ksik Pole ksik