[ Pobierz całość w formacie PDF ]
.Ale są i bardziejzaawansowane.Firma spedycyjna FedEx umożliwia swoim klientom śledzenie biegu nadanej przeznich paczki za pośrednictwem serwera World Wide Web (http://www.fedex.com).Udostępnienieklientom informacji tego typu dało firmie znaczne oszczędności i poprawiło jakość świadczonychusług.Wiele innych firm bada możliwości WWW do zastosowań w elektronicznym handlu.Klienciprzeglądają katalogi towarów i usług, wybierają towary, zamawiają je i płacą, posługując sięwyłącznie własną przeglądarką.System World Wide Web daje jeden z najbardziej ekscytujących sposobów wykorzystywaniaInternetu.Nie jest jednak wolny od zagrożeń dla bezpieczeństwa komputerowego.Oto tezagrożenia (ułożone według ich istotności):1.Wykorzystanie przez włamywaczy błędów programowych serwera WWW i skryptów CGI douzyskania nielegalnego dostępu do plików systemu, a nawet przejęcia kontroli nad całymkomputerem.2.Wydostanie się poufnych informacji z serwera WWW do nieupoważnionych użytkowników.3.Przechwycenie poufnych danych przesyłanych między serwerem i przeglądarką WWW.4.Przedostanie się poufnych danych z komputera, na którym działa przeglądarka WWW(wyposażona w tajne funkcje lub usterki), do fałszywego serwera prowadzonego potajemnieprzez przestępców.5.Ujawnianie się usterek w programach pisanych na zamówienie.Ze względu na powszechnośćwystępowania różnych błędów programowych i innych niedoskonałości wykorzystywanych przezprzestępców niektóre firmy decydują się na zamawianie niestandardowych rozwiązań.Każde z tych zagrożeń wymaga innych działań.Niestety niektóre obecnie stosowane rozwiązaniaprzynoszą skutek odwrotny od zamierzonego.Aby na przykład zminimalizować ryzyko podsłuchuwiele organizacji zakupiło  bezpieczne" serwery WWW, które zawierają różne protokołykryptograficzne.Ale te serwery wymagają cyfrowo podpisanego certyfikatu, który powinien być coroku odnawiany.W konsekwencji serwery WWW tych organizacji są narażone na ataki przezuniemożliwienie działania.UWAGAObecnie w użyciu znajduje się wiele serwerów WWW i za jakiś czas pojawi się ich jeszcze więcej.Kiedy pracowaliśmy nad tą książką, kilku producentów zajmujących się serwerami WWWzapowiedziało nowe wydania swoich programów.Omawianie poszczególnych produktów w tej książce byłoby i bardzo trudne, i niepotrzebne.Oprócz tego, że jest ich za dużo, zmieniają się one za szybko i wiele zamieszczonych tu informacjistraciłoby szybko aktualność.Internet rozwija się za szybko, aby wydrukowana dokumentacjamogła być aktualna.Informacje na temat bezpieczeństwa WWWW Internecie istnieje kilka świetnych z
ródeł informacji na temat bezpieczeństwa systemu WWW.Każdy, kto opracowuje strony WWW i pisze skrypty CGI, powinien w te miejsca zajrzeć, aby siędowiedzieć, co wydarzyło się w dziedzinie bezpieczeństwa od momentu wydania tej książki.Wspomniane materiały można znalez
ć w następujących miejscach:http://www-genorne.wi.mit.edu/WWW/faqs/www-security-faq.htmlPlik FAQ na temat bezpieczeństwa WWW napisany przez Lincolna D.Steina.http://www.primus.com/staff/paulp/cgi-securityPlik FAQ na temat bezpieczeństwa skryptów CGI napisany przez Paula Phillipsa.http://hoohoo.ncsa.uiuc.edu/cgi/security.htmlDokumentacja na temat bezpieczeństwa skryptów CGI.http://www.cs.purdue.edu/coast/hotlist.html#securi01Część  gorącej listy" COAST Lab poświęcona systemowi WWW.Z tego powodu bezpieczeństwo systemu World Wide Web w naszej książce omawiamy w sposób uogólniony.W niektórych miejscach, tam gdzie to jest konieczne, posługujemysię serwerem NCSA (wspominamy też o produktach CERN i WN).Niemniej wszystkie serwery WWW są do siebie podobne i działają na takich samych zasadach.Prowadzenie bezpiecznego serweraSerwery WWW są przeznaczone do odpowiadania na anonimowe żądania z hostów w Internecie ido szybkiego i efektywnego udostępniania im danych.Przez swą konstrukcję stanowią wejście dosystemu komputerowego, które może być wykorzystane zarówno w sposób legalny, jak ibezprawny.%7ładen program nie jest wolny od niebezpieczeństw.Serwery WWW to programy skomplikowane znatury.Ponadto kody z
ródłowe serwerów używanych przez wiele firm są ogólnie dostępne wInternecie.Dostępność kodu oznacza, że firma, zanim rozpocznie używanie serwera, możeprzyjrzeć się programowi od środka.Z drugiej jednak strony umożliwia ona przestępcomdokładne badanie programu i odnajdywanie w nim słabych punktów.Możliwość dodawania funkcji do serwera WWW za pomocą skryptów CGI przyczyniła się doogromnego skomplikowania aspektów bezpieczeństwa.Skrypty CGI oprócz tego, że pozwalajązwiększyć funkcjonalność serwera, sprawiają dużo kłopotów.Na przykład serwer WWW możeudostępniać tylko pliki z określonych katalogów, tymczasem użytkownik może nieświadomiezainstalować skrypt CGI umożliwiający osobom z zewnątrz odczytywanie dowolnych plików zkomputera.Co więcej, ponieważ większość użytkowników nie ma doświadczenia w pisaniubezpiecznych programów, możliwe jest (i prawdopodobne), że lokalnie napisany skrypt CGIbędzie zawierał błędy pozwalające osobom z zewnątrz wykonywać dowolne polecenia w systemie [ Pobierz całość w formacie PDF ]