Skoči na vsebino

Srečanje spletnih razvijalcev. Ključna beseda je bila #varnost

V okviru bogatega dogajanja s področja IT v mesecu oktobru (še več dogodkov nas čaka v sklopu Internet Week Ljubljana, pa še Evropski mesec kibervarnosti je), sta včeraj SI-CERT in podjetje Domovanje d.o.o. organizirala srečanje slovenskih spletnih razvijalcev z naslovom »Kdo bo plačal varnostno luknjo?«. Predavatelja, vodja SI-CERT Gorazd Božič in direktor podjetja Domovanje d.o.o. Uroš Čimžar, sta izpostavila nekaj ključnih dejstev, ki upamo, da bodo v pomoč.

TOP 10 LEKCIJ ALI KAJ SMO ODNESLI OD SREČANJA SPLETNIH RAZVIJALCEV?

1.  Čas garažnih internet mojstrov je minil, spletnega mesta se je potrebno lotiti z ustrezno profesionalno podporo. To bodo morali spoznati predvsem lastniki spletnih mest!
2.  Najpogostejše posledice vdorov v spletna mesta so phishing, razobličenje, okužbe v mimohodu (drive-by-download).
3.  Ponudnik gostovanja ni odgovoren za uporabnikove vsebine na strežniku, do tistega trenutka, ko je o protipravnosti obveščen. Nato mora ukrepati!
4.  Spletni razvijalec ni strokovnjak za šifriranje, zato ne izumljajte svojih šifrirnih algoritmov, ampak uporabite že preverjene.
5.  Top tehnike varnosti so: konfiguracija, preverjanje vhodnih podatkov, obravnava napak, šifriranje podatkov, ločitev kode od podatkov, varnostne kopije. Predvsem na slednje razvijalci pogosto pozabljajo!
6.  Vsak spletni razvijalec bi moral poznati ranljivosti spletnih aplikaciji, ki so navedene v dokumentu OWASP TOP 10.
7.  Vsak osnovni paket vzdrževanja spletnih strani bi moral že vsebovati varnostne popravke. Naj ti ne bodo ponujeni šele kot dodatna opcija!
8. Varnost strežnika lahko povečate, če na strežniku izklopite storitve, ki so privzeto nameščene, a jih ne potrebujete.
9.  Ko kupujete VPS vedno preverite, kakšen način virtualizacije omogoča. Pomembno je, da omogoča tudi »live migration«, sicer bo ob kakršnih koli spremembah (selitve, nadgradnje…) strežnik po nepotrebnem nedosegljiv.
10. Vedno tudi preverite, kakšen postopek nadgradenj vam omogoča kupljeni VPS. Že ob nakupu mora biti jasno, kdo bo vaš VPS vzdrževal.

Preberite tudi

5 varnostnih nasvetov, ki naj v 2025 gredo v pozabo

Pripravili smo pregled nekaj varnostnih nasvetov, ki naj v 2025 gredo v pozabo, saj gre za prakse, ki več ne ustrezajo sodobnim varnostnim zahtevam.
Več

Kaj nas je naučilo leto 2024?

Iztekajoče leto 2024 so zaznamovali tako odmevnejši kibernetski napadi na velike organizacije, ki so pritegnili veliko medijske pozornosti, kot tudi veliko število incidentov v manjših podjetjih, predvsem prevar z vrivanjem v poslovno komunikacijo (t.i. BEC prevara) in okužb z zlonamerno kodo (t.i. infostealers). 
Več

Konferenca o ozaveščanju o kibernetski varnosti

Agencija EU za kibernetsko varnost ENISA je v partnerstvu s SI-CERT organizirala prvo mednarodno konferenco o ozaveščanju o kibernetski varnosti. Dogodek je 27. novembra 2024, v Klubu Cankarjevega doma, gostil …
Več