Bezpečnost

Mít bezpečný systém neznamená jen čistě chráněné údaje, ale především zabezpečený nepřerušený chod samotného podnikatelského řešení nebo jiné online aktivity. S redakčním  systémem WebJET čerpají provozní výhody auditovaného systému všechny pravidelně aktualizované WebJET distribuční verze.

Základy bezpečnosti web stránek

Celková bezpečnost provozovaného web sídla se skládá z

  • bezpečnosti operačního systému,
  • bezpečnosti aplikací provozovaných v daném operačním systému (databáze, ostatní služby) a
  • bezpečnosti webové aplikace.

Narušení každé z těchto součástí vede k destabilizaci celého online systému, a proto je potřebné minimalizovat rizika v každé z těchto oblastí. Bezpečnost operačního systému a běžících služeb řeší IT oddělení hostingové společnosti, případně podle potřeby dodáváme služby našich odborníků. Redakční systém WebJET jako webová aplikace poskytuje v této oblasti dlouhodobě prověřovaný standard.

Řešení bezpečnosti redakčního systému WebJET

Redakční systém WebJET je pravidelně testovaný penetračním / bezpečnostním testem, obsahuje množství ochran, ze kterých vybíráme..

  • SQL Injection - s databází se pracuje s využitím Prepared Statement při kterých není možné realizovat útoky typu SQL Injection a získat tak citlivé údaje,
  • Cross-site Scripting (XSS) - redakční systém WebJET obsahuje detekci a filtrování nepovolených znaků a auditování XSS útoků;
  • Cross-site Request Forgery (CSRF) - při přístupu do administrátorské časti je kontrolovaný CSRF útok, administraci a stránkám je znemožněné vkládání do rámců jako ochrana před Click Jacking, pro web aplikace je možné využít CSRF tokeny pro ochranu formulářů;
  • Session Stealing - session je navázaná na IP adresu, není možné libovolně použít session cookie, aplikace je také chráněná proti útoku na Session Fixation;
  • SPAM - emailové adresy na stránce jsou automaticky zakódované a zobrazené s využitím JavaScriptu, podobně formuláře jsou chráněné obfuscovaním HTML kódu s možností vypnutí ochrany matematickým testem. Pro formuláře a vybrané moduly je možné aktivovat ochranu CAPTCHA testem;
  • Denial of Service (DOS) - formuláře a aplikační moduly obsahují integrovanou kontrolu limitující počet odeslání i rychlost odeslání formulářů a omezují zátěž na server při náročných operacích,
  • Distributed Denial of Service (DDOS) - redakční systém WebJET podporuje běh s využitím rychlého reverzního proxy pro vysokorychlostní poskytování web stránek s limitováním počtu a rychlosti jednotlivých HTTP požadavků,
  • Brute Force - při zadání nesprávného jména nebo hesla je během definovaného času znemožněné se znova přihlásit. Systém jednotně odpovídá při zadání nesprávného jména nebo hesla, není možné identifikovat zda je jedno z dvojice správně;
  • File Extension Handling - integrovaná kontrola nahrávaných souborů se zamezením nahrání souborů s nebezpečnými příponami, pro formuláře možnost definovat povolené přípony a maximální velikost souboru;
  • Cross-site Tracking (XST), HTTP Methods Testing - kontrola volaných HTTP metod, WebJET povoluje jen potřebné GET a POST metody;
  • Přihlašování do administrátorské časti je možné omezit na vybrané IP adresy, je možné vynutit zabezpečené spojení;
  • Credentials transport - každé stránce je možné nastavit požadavek na zabezpečené spojení, pro domény s dostupným SSL certifikátem je možné nastavit vynucené odesílání standardních formulářů přes zabezpečené spojení. Libovolné časti webové prezentace v redakčním systému WebJET je možné chránit heslem na úrovni sekcí, jako i samostatné web stránky. Stejně chráněné jsou fyzické soubory, poskytované ke stažení;
  • Multiplatform - redakční systém WebJET je možné bez jakékoliv potřeby změny kódu provozovat jak na platformě Windows, tak i na platformě UNIX / Linux. Pokud  se někdy v budoucnosti rozhodnete, že Vámi zvolená platforma není dostatečně zabezpečená proti vnějším útokům, je možné jednoduše, rychle a bez komplikací převést na druhou platformu;
  • Auditing - všechny operace na úrovni front-endu i back-endu jsou zaznamenávané v tzv. logoch. V záznamech je možné rozlišovat operace i podle uživatele, který operaci vykonal;
  • Aplikační logika je rozdělená do dvou částí podle paradigma Model View Controller: business vrstva (operace s databází)  je oddělená od prezentační vrstvy (HTML kód). Zároveň, business vrstva je na serveru v kompilovaném tvaru a není možné jí přímým způsobem měnit...

V případě specifických potřeb na zabezpečení navrhujeme a realizujeme zabezpečení web sídla nebo administrátorské časti podle Vašich požadavků na míru.

Přihlašování a zabezpečení hesel

Do redakčního systému WebJET se standardně přihlašujete zadáním přihlašovacího jména a hesla. Přihlašování je následně ověřené na základě nastavených práv a buď povolené nebo je zamítnuté. Všechny hesla jsou na web serveru uchovávána v hash-formě s využitím náhodného řetězce (salt).

Na zvýšení bezpečnosti je možné využít šifrovaný HTTPS protokol, kdy je šifrována celá komunikace mezi prohlížečem návštěvníka a web serverem. Přihlašovací mechanismus může být navíc rozšířený o ověření totožnosti prostřednictvím SMS správy.

Pravidelný bezpečnostní audit

Redakční systém WebJET je díky své modularitě úspěšný jako řešení jak menších komerčních subjektů, tak i velkých společností a bankovních institucí, pro jejichž potřeby je pravidelně auditovaný nezávislými spoločnostmi na splnění přísných bezpečnostních kritérií. Odhalené potenciální problémy jsou opraveny a zahrnuty do standardních instalací pro ostatní klienty. Tímto procesem získavají výhody auditovaného systému i menší a střední společnosti.

S redakčním systémem WebJET získate podporu vysoké úrovně zabezpečení.

WebActive s.r.o., Hviezdoslavova 16, Ústí nad Labem 400 03
tel.: +420 605 584 425
e-mail: