Разное

Как SSL может защитить ваш сайт

Joomla
Добавление в избранное
Сохранить

Как SSL может защитить ваш сайт

Зачем использовать SSL на веб-сайте?

SSL (или TLS) является тем самым маленьким замком, который появился на веб-страницах со времен Netscape 2.0 в 1996 году. Несмотря на общепринятое мнение о том, что SSL нужен только для e-commerce или финансовых веб-сайтов, ничто не мешает получать выгоду от его использования на простых веб-сайтах, в том числе и на вашем Joomla! сайте. Нет необходимости в использовании специальных расширений. Существуют встроенные в Joomla! возможности, воспользоваться которыми вы можете прямо сейчас, таким образом делая более защищенными не только пользователей, но и себя.

Но у меня нет ничего, что можно было бы защитить

Нет, у вас это есть! Одной из самых ценных вещей на любом веб-сайте являются имя пользователя и пароль. Даже если у вас нет пользователей, которые заходят с фронт-энда, вы, безусловно, пользуетесь панелью управления. Если вы не используете SSL, то другие могут выдать себя за вас и украсть «ключи от замка».

Так каков риск?

Когда любой пользователь авторизуется на вашем Joomla! сайте, его имя пользователя и пароль посылаются через Интернет к вашему серверу. Эта часть является очевидной. Не очевидно то, что имя пользователя и пароль могут быть перехвачены где угодно по пути от пользовательского бразузера до беспроводного роутера или провайдера или вашего сервера. И этому всему способствует большая распространенность беспроводного доступа в общественных местах, кафе и ресторанах.

Что можно сделать с доступами моего сайта?

Ну, если вы администратор, то можно сделать что угодно. Кроме того, пользователи часто используют одни и те же данные на нескольких сайтах. И если вы думаете, что данные доступов не так ценны на вашем сайте, то на другом веб-сайте они вполне быть могут таковыми, например на сайте интернет-магазина, хостинговой компании и т.д.

Как этому препятствует SSL?

Все до невероятности просто. В модуле входа Joomla! существует установка "Защищённая форма регистрации". Если у вас на сайте установлен SSL-сертификат, то эта установка заставит бразуер пользователя зашифровать имя пользователя и пароль перед тем, как они будут посланы через интернет к вашему серверу.

Как SSL может защитить ваш сайт - модуль входа

Кукисы сессии также уязвимы

Когда пользователь выполняет авторизацию, то в браузере создается специальный сессионный куки (session cookie) для идентификации этого пользователя. Куки передается с каждой загрузкой страницы, поэтому Joomla! знает пользователя, который просматривает страницу. Этот куки предоставляет привилегии на различные действия на веб-сайте.

В то время как куки является меньшей угрозой, так как в конечном счете истекает, неплохо было бы обезопасить и его. Просто используя SSL на всем сайте, куки будет также зашифровано. И опять, защита этого аспекта также проста и заключается в изменении настройки "Включить SSL" в Общих настройках сайта. Установите настройку на 'Весь сайт" или "Только панель управления". Если у вас есть SSL-сертификат, то нет причины выбирать "Нет", вы должны выбрать хотя бы "Только для панели управления". Это предотвратит получение злоумышленником куки доступа к панели управления вашего сайта.

Как SSL может защитить ваш сайт - настройки SSL

Да ладно, такое вообще возможно?

В 2010 году был выпущен Firefox аддон под названием Firesheep, который может автоматически просканировать беспроводную сеть, показать и использовать сессионные кукисы различных популярных веб-сайтов таких как Facebook, Google и Twitter. Несмотря на то, что такого аддона нет для Joomla сайтов, возможность все равно существует.

Недостатки SSL

Самыми большими недостатками SSL можно назвать денежные затраты и производительность. В зависимости от вашего хостинг-плана SSL-сертификат может обойтись вам от бесплатно до $150 в год. Затраты полностью зависят от того, предоставляет ли ваш хостер бесплатный общий SSL-сертификат, дает ли возможность установить сертификат от другого продавца (порядка $10-$20) или вынуждает вас покупать сертификат у него (до $150).

Если цена допустима для вашего сайта, то единственное с чем придется считаться, это с небольшой потерей производительности. Так как картинки, JS-скрипты и CSS-файлы будут зашифрованы, пользовательский браузер не сможет их закэшировать. А это означает больше запросов к странице. Но, несмотря на это, оно того стоит!

Оригинальная статья: Alex Andreae
Dmitry Rekun
Работаю в банковской сфере, а с веб-разработкой (непосредственно с Joomla) столкнулся в 2007 году. Теперь это моё хобби, а в редких случаях и вторая работа. Какое-то время вёл свой блог, но решил попробовать работать в команде. И вот c 2012 года я здесь :)

Подпишитесь на рассылку новостей CMScafe