• Obiter dictum
  • Registratie: Augustus 2008
  • Niet online

Obiter dictum

Zwart, geen suiker.

Topicstarter
Met al het nieuws rondom het blootleggen van databases de laatste tijd begint het bij mij ook te kriebelen; wat als ik onderwerp van een aanval zou worden? Natuurlijk is er met mijn kleine webshop geen directe aanleiding voor, maar ik heb privacy en persoonsgegevens nou eenmaal hoog in het vaandel staan, en dus wil ik ook de gegevens van mijn klanten optimaal beschermen.

Maar hoe doe je dat in vredesnaam? Webshopsoftware wordt immers geleverd om te werken, er zit geen testfunctionaliteit in.

Het eenvoudigst is het simpelweg verwijderen van de klantgegevens uit de database na, laten we zeggen, 2 maanden na aankoop. Dit is helaas om meerdere redenen niet mogelijk;

- Garantie en andere issues; ik vertrouw liever mijn eigen administratie dan die van de klant,
- Spaarsysteem, waarbij de gegevens natuurlijk in mijn database moeten blijven

De gegevens moeten dus in de DB blijven. Maar hoe komt een websitebeheerder erachter hoe veilig ze daar zijn? Natuurlijk, serverside de software regelmatig updaten. Maar verder?

Kort gezegd; hoe vind ik de putten waar misschien een kalf in kan verdrinken?

Mijn meest recente productreview.
GoT; een haast oneindige bron van technologische kennis. Experts die elkaar helpen, en ik ben trots, hieraan een bijdrage -nsfw- te mogen leveren!


  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Een security audit laten doen?
Je oude transacties offline opslaan? :)

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl


  • Avalaxy
  • Registratie: Juni 2006
  • Laatst online: 23:13
Security audit lijkt me inderdaad dé manier. Zeker als je weinig ervaring met programmeren hebt.

Mag ik vragen: gebruik je een standaard framework (Magento, OSCommerce) of is het maatwerk?

  • Obiter dictum
  • Registratie: Augustus 2008
  • Niet online

Obiter dictum

Zwart, geen suiker.

Topicstarter
Security audit legt helaas bepaald niet binnen het budget. Het is een standaard framework, Magento, waaraan wel lichte aanpassingen in de code zijn gedaan door een freelancer om de site te personaliseren.

Oude transacties offline opslaan ga ik bekijken, maar voorwaarde is dan wel dat ze net zo eenvoudig toegankelijk moeten zijn als de online transacties nu zijn via de backend...

Mijn meest recente productreview.
GoT; een haast oneindige bron van technologische kennis. Experts die elkaar helpen, en ik ben trots, hieraan een bijdrage -nsfw- te mogen leveren!


  • Avalaxy
  • Registratie: Juni 2006
  • Laatst online: 23:13
Als je Magento gebruikt kun je er (afhankelijk van wat die wijzigingen inhouden) wel vanuit gaan dat je website aardig veilig is :)

  • dutch_camel
  • Registratie: September 2002
  • Laatst online: 02-06 15:08

dutch_camel

It's Orange!

Avalaxy schreef op maandag 13 juni 2011 @ 21:42:
... wel vanuit gaan dat je website aardig veilig is...
En dat is precies de insteek die een hacker gebruikt: Een gebruiker/beheerder zal er wel van uitgaan dat ...
-Mijn site goed beveiligd is...
-Mijn PIN/PWD/USR etc. niet te raden is...
-Mijn port xxxx gesloten/hidden staat, zodat niemand dat ziet ...
-Etc.

Je weet het pas zeker wanneer je dat test of laat testen. En dan nog, met het verstrijken van tijd zul je zelf ook regelmatig moeten nadenken over je huidige beveiliging.

Kom misschien een beetje fel over, maar ik heb ondertussen te veel en vaak gezien dat men 'ergens van uit gaat' zonder het exact te weten of het zo is, waarbij 'het' voor van alles vervangen kan worden: Goede firewall, goede AV, User Awareness, etc.
Er van uitgaan dat levert in de meeste gevallen, vaak onverwacht en ongelegen, een hoop werk en stress op, helaas te vaak voor de mensen die al gevraagd hebben om concreetheid. Ik ben zelf de afgelopen jaren al te veel tijd kwijt geraakt aan het opruimen van allerlei uitbraken en rommel bij ons bedrijf. Gelukkig zitten we nu in een traject waar veel zaken verbeterd en aangepakt worden.

~... this doesn't look like Kansas to me, Toto... ~


  • LeVortex
  • Registratie: Augustus 2006
  • Laatst online: 22:03
Bij sony gingen ze er ook vanuit dat het wel redelijk veilig was en dat niemand ze zou hacken. Dus zo vanzelfsprekend is het niet. je moet in iedergeval regelmatig patches doen van de software (magento) en je server (php, apache, sql en het os zelf). Verder tjah, ik schat de kans niet heel hoog in, ik snap best als kleine webshop dat je geen duizenden euro's kan betalen voor security. Ik zou als het mogelijk is oude transacties verwijderen inderdaad, maar username + ww moeten toch altijd blijven staan, of de transacties voor de hacker nou zo belangrijk zijn weet ik ook niet.

  • Qorne
  • Registratie: September 2000
  • Laatst online: 27-03-2018

Qorne

Think Different

Voor een website/webshop ben ik ook opzoek naar een goede veilige oplossing, ik zie relatief dure oplossing van Barracuda, http://www.barracudanetwo...ite-firewall-overview.php

Dan moet je rekenen op 6000€+ ik vraag me af of dit ook anders, iets goedkoper kan?

  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 20:49
Wat je bijvoorbeeld kan doen als kleine partij is het uitbesteden van zaken die je niet kan zorgvuldig kan doen. Bijvoorbeeld: Je zou zelf bankrekeningnummers e.d. op kunnen slaan. Je kan ook besluiten om het betalingsgedeelte uit te besteden. Je mist er geen handige data door aan de ene kant en aan de andere kant verleg je de verantwoordelijkheid wat je ook kan doen in je voorwaarden.

Acties:
  • 0Henk 'm!

  • HWR
  • Registratie: Maart 2009
  • Laatst online: 21-05 11:21
Beste Orbiter Dictum,

Ik snap dat je je webshop het liefst optimaal dichttimmert, maar naar mijn mening dient een website/systeem altijd in proportie beveiligd te worden. Wat ik hiermee bedoel is dat je steeds reëel (en secuur!) moet kijken met welke bedreiging je te maken hebt, of zou kunnen hebben. Het zou bijvoorbeeld raar zijn als je dure/tijdrovende maatregelen ging treffen omdat je rekening probeert houden met een aanval van een doorgewinterde hacker - in het geval van jouw webshop is de kans op een dergelijke aanval gewoonweg ontzettend klein. Je hebt waarschijnlijk 'slechts' enkele honderden misschien duizenden bezoekers per maand en je site staat verder niet in de schijnwerpers op het internet. De centrale vraag: hoe interessant is het om jouw website aan te vallen? Dit kan met van alles te maken hebben, een beetje common sense en inlevingsvermogen doet al wonderen. In een ander scenario: mocht jouw site plotseling onder de aandacht gebracht worden via NU.nl, dan zou je de mate van beveiliging kunnen intensiveren aangezien je nu een flink stuk meer aandacht (=verkeer) krijgt van onbekende bezoekers, daar waar je voorheen voornamelijk directe bezoekers kreeg via bijvoorbeeld Google.
Een bedreiging die bijvoorbeeld altijd bestaat voor een site als de jouwe (en vele andere 'kleinere' sites) is dat zogenaamde 'script-kiddies' je formulieren en standaard logins voor FTP en Databases gaan uittesten. Hiervoor zou je een beveiligingsboek kunnen aanschaffen om de methoden te leren die deze mensen hanteren, en vooral ook de maatregelen die je hiertegen kunt treffen (filteren van alle input velden, sFTP hanteren, database back-ups maken).

Om tot slot een tegenovergesteld voorbeeld te geven: een site als www.europa.eu (de site van de Europese Unie) kan meteen rekening houden met kwade bedoelingen, en dient daarvoor ook treffende beveiligingsmaatregelen te treffen. Dit komt niet eens omdat ze zo ontzettend veel bezoekers krijgen, maar omdat het voor een willekeurig persoon natuurlijk fantastisch zou zijn om te zeggen dat hij deze site gehacked heeft. Wederom common sense en inlevingsvermogen in de internetcultuur.

Het punt dat ik wil maken is dat naar mijn mening elke site zijn zaken adequaat dient te beveiligen; schat de bedreigingen goed in, en tref daar passende maatregelen tegen. In het dagelijks leven houden we er ook niet rekening mee dat we als individu elk moment door de bliksem getroffen kunnen worden, totdat er een reëele indicatie van deze bedreiging is. Een hoge kantoortoren weet dat deze bedreiging veel dichterbij is, en neemt daarom wel de maatregelen ervoor (bliksemafleider :) ).

Advies voor jou en andere website-eigenaars: verdiep je in de huidige internetcultuur, leer wat over de verschillende mogelijke aanvallen en de relaties tussen de aanvallers en de doelwitten.

Met vriendelijke groet,

HWR

Anoniem: 378409

Website beveiliging is inderdaad een vak op zich. Maar in essentie hoeft het niet ingewikkeld te zijn. Voor een kleine webshop in eigen beheer is het, mits de boel netjes is opgezet, nog redelijk te overzien.

Door je aan een paar hele simpele basisregels voor data security te houden voorkom je al de grootste ellende. Dingen zoals in dat lijstje zijn echt de absolute basics. Bedenk WAT je opslaat (is het nodig?) en HOE je het opslaat (gaat dat veilig?).
LeVortex schreef op dinsdag 14 juni 2011 @ 13:30:
maar username + ww moeten toch altijd blijven staan
Weet niet of je dat letterlijk bedoelt, maar daar gaat het dus al mis: wachtwoorden moet je niet opslaan. Als eventuele hackers -desnoods inbrekers die fysiek bij je provider inbreken en de server met jouw website meenemen- bij de echte, originele passwords van je klanten kunnen komen, da's bijna de grootste blunder die je kunt maken (op het leegroven van hun bankrekening of credit card gegevens na).
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee