Mijn meest recente productreview.
GoT; een haast oneindige bron van technologische kennis. Experts die elkaar helpen, en ik ben trots, hieraan een bijdrage -nsfw- te mogen leveren!
Een security audit laten doen?
Je oude transacties offline opslaan?
Je oude transacties offline opslaan?
Security audit lijkt me inderdaad dé manier. Zeker als je weinig ervaring met programmeren hebt.
Mag ik vragen: gebruik je een standaard framework (Magento, OSCommerce) of is het maatwerk?
Mag ik vragen: gebruik je een standaard framework (Magento, OSCommerce) of is het maatwerk?
Security audit legt helaas bepaald niet binnen het budget. Het is een standaard framework, Magento, waaraan wel lichte aanpassingen in de code zijn gedaan door een freelancer om de site te personaliseren.
Oude transacties offline opslaan ga ik bekijken, maar voorwaarde is dan wel dat ze net zo eenvoudig toegankelijk moeten zijn als de online transacties nu zijn via de backend...
Oude transacties offline opslaan ga ik bekijken, maar voorwaarde is dan wel dat ze net zo eenvoudig toegankelijk moeten zijn als de online transacties nu zijn via de backend...
Mijn meest recente productreview.
GoT; een haast oneindige bron van technologische kennis. Experts die elkaar helpen, en ik ben trots, hieraan een bijdrage -nsfw- te mogen leveren!
Als je Magento gebruikt kun je er (afhankelijk van wat die wijzigingen inhouden) wel vanuit gaan dat je website aardig veilig is
En dat is precies de insteek die een hacker gebruikt: Een gebruiker/beheerder zal er wel van uitgaan dat ...Avalaxy schreef op maandag 13 juni 2011 @ 21:42:
... wel vanuit gaan dat je website aardig veilig is...
-Mijn site goed beveiligd is...
-Mijn PIN/PWD/USR etc. niet te raden is...
-Mijn port xxxx gesloten/hidden staat, zodat niemand dat ziet ...
-Etc.
Je weet het pas zeker wanneer je dat test of laat testen. En dan nog, met het verstrijken van tijd zul je zelf ook regelmatig moeten nadenken over je huidige beveiliging.
Kom misschien een beetje fel over, maar ik heb ondertussen te veel en vaak gezien dat men 'ergens van uit gaat' zonder het exact te weten of het zo is, waarbij 'het' voor van alles vervangen kan worden: Goede firewall, goede AV, User Awareness, etc.
Er van uitgaan dat levert in de meeste gevallen, vaak onverwacht en ongelegen, een hoop werk en stress op, helaas te vaak voor de mensen die al gevraagd hebben om concreetheid. Ik ben zelf de afgelopen jaren al te veel tijd kwijt geraakt aan het opruimen van allerlei uitbraken en rommel bij ons bedrijf. Gelukkig zitten we nu in een traject waar veel zaken verbeterd en aangepakt worden.
~... this doesn't look like Kansas to me, Toto... ~
Bij sony gingen ze er ook vanuit dat het wel redelijk veilig was en dat niemand ze zou hacken. Dus zo vanzelfsprekend is het niet. je moet in iedergeval regelmatig patches doen van de software (magento) en je server (php, apache, sql en het os zelf). Verder tjah, ik schat de kans niet heel hoog in, ik snap best als kleine webshop dat je geen duizenden euro's kan betalen voor security. Ik zou als het mogelijk is oude transacties verwijderen inderdaad, maar username + ww moeten toch altijd blijven staan, of de transacties voor de hacker nou zo belangrijk zijn weet ik ook niet.
Voor een website/webshop ben ik ook opzoek naar een goede veilige oplossing, ik zie relatief dure oplossing van Barracuda, http://www.barracudanetwo...ite-firewall-overview.php
Dan moet je rekenen op 6000€+ ik vraag me af of dit ook anders, iets goedkoper kan?
Dan moet je rekenen op 6000€+ ik vraag me af of dit ook anders, iets goedkoper kan?
Wat je bijvoorbeeld kan doen als kleine partij is het uitbesteden van zaken die je niet kan zorgvuldig kan doen. Bijvoorbeeld: Je zou zelf bankrekeningnummers e.d. op kunnen slaan. Je kan ook besluiten om het betalingsgedeelte uit te besteden. Je mist er geen handige data door aan de ene kant en aan de andere kant verleg je de verantwoordelijkheid wat je ook kan doen in je voorwaarden.
Beste Orbiter Dictum,
Ik snap dat je je webshop het liefst optimaal dichttimmert, maar naar mijn mening dient een website/systeem altijd in proportie beveiligd te worden. Wat ik hiermee bedoel is dat je steeds reëel (en secuur!) moet kijken met welke bedreiging je te maken hebt, of zou kunnen hebben. Het zou bijvoorbeeld raar zijn als je dure/tijdrovende maatregelen ging treffen omdat je rekening probeert houden met een aanval van een doorgewinterde hacker - in het geval van jouw webshop is de kans op een dergelijke aanval gewoonweg ontzettend klein. Je hebt waarschijnlijk 'slechts' enkele honderden misschien duizenden bezoekers per maand en je site staat verder niet in de schijnwerpers op het internet. De centrale vraag: hoe interessant is het om jouw website aan te vallen? Dit kan met van alles te maken hebben, een beetje common sense en inlevingsvermogen doet al wonderen. In een ander scenario: mocht jouw site plotseling onder de aandacht gebracht worden via NU.nl, dan zou je de mate van beveiliging kunnen intensiveren aangezien je nu een flink stuk meer aandacht (=verkeer) krijgt van onbekende bezoekers, daar waar je voorheen voornamelijk directe bezoekers kreeg via bijvoorbeeld Google.
Een bedreiging die bijvoorbeeld altijd bestaat voor een site als de jouwe (en vele andere 'kleinere' sites) is dat zogenaamde 'script-kiddies' je formulieren en standaard logins voor FTP en Databases gaan uittesten. Hiervoor zou je een beveiligingsboek kunnen aanschaffen om de methoden te leren die deze mensen hanteren, en vooral ook de maatregelen die je hiertegen kunt treffen (filteren van alle input velden, sFTP hanteren, database back-ups maken).
Om tot slot een tegenovergesteld voorbeeld te geven: een site als www.europa.eu (de site van de Europese Unie) kan meteen rekening houden met kwade bedoelingen, en dient daarvoor ook treffende beveiligingsmaatregelen te treffen. Dit komt niet eens omdat ze zo ontzettend veel bezoekers krijgen, maar omdat het voor een willekeurig persoon natuurlijk fantastisch zou zijn om te zeggen dat hij deze site gehacked heeft. Wederom common sense en inlevingsvermogen in de internetcultuur.
Het punt dat ik wil maken is dat naar mijn mening elke site zijn zaken adequaat dient te beveiligen; schat de bedreigingen goed in, en tref daar passende maatregelen tegen. In het dagelijks leven houden we er ook niet rekening mee dat we als individu elk moment door de bliksem getroffen kunnen worden, totdat er een reëele indicatie van deze bedreiging is. Een hoge kantoortoren weet dat deze bedreiging veel dichterbij is, en neemt daarom wel de maatregelen ervoor (bliksemafleider
).
Advies voor jou en andere website-eigenaars: verdiep je in de huidige internetcultuur, leer wat over de verschillende mogelijke aanvallen en de relaties tussen de aanvallers en de doelwitten.
Met vriendelijke groet,
HWR
Ik snap dat je je webshop het liefst optimaal dichttimmert, maar naar mijn mening dient een website/systeem altijd in proportie beveiligd te worden. Wat ik hiermee bedoel is dat je steeds reëel (en secuur!) moet kijken met welke bedreiging je te maken hebt, of zou kunnen hebben. Het zou bijvoorbeeld raar zijn als je dure/tijdrovende maatregelen ging treffen omdat je rekening probeert houden met een aanval van een doorgewinterde hacker - in het geval van jouw webshop is de kans op een dergelijke aanval gewoonweg ontzettend klein. Je hebt waarschijnlijk 'slechts' enkele honderden misschien duizenden bezoekers per maand en je site staat verder niet in de schijnwerpers op het internet. De centrale vraag: hoe interessant is het om jouw website aan te vallen? Dit kan met van alles te maken hebben, een beetje common sense en inlevingsvermogen doet al wonderen. In een ander scenario: mocht jouw site plotseling onder de aandacht gebracht worden via NU.nl, dan zou je de mate van beveiliging kunnen intensiveren aangezien je nu een flink stuk meer aandacht (=verkeer) krijgt van onbekende bezoekers, daar waar je voorheen voornamelijk directe bezoekers kreeg via bijvoorbeeld Google.
Een bedreiging die bijvoorbeeld altijd bestaat voor een site als de jouwe (en vele andere 'kleinere' sites) is dat zogenaamde 'script-kiddies' je formulieren en standaard logins voor FTP en Databases gaan uittesten. Hiervoor zou je een beveiligingsboek kunnen aanschaffen om de methoden te leren die deze mensen hanteren, en vooral ook de maatregelen die je hiertegen kunt treffen (filteren van alle input velden, sFTP hanteren, database back-ups maken).
Om tot slot een tegenovergesteld voorbeeld te geven: een site als www.europa.eu (de site van de Europese Unie) kan meteen rekening houden met kwade bedoelingen, en dient daarvoor ook treffende beveiligingsmaatregelen te treffen. Dit komt niet eens omdat ze zo ontzettend veel bezoekers krijgen, maar omdat het voor een willekeurig persoon natuurlijk fantastisch zou zijn om te zeggen dat hij deze site gehacked heeft. Wederom common sense en inlevingsvermogen in de internetcultuur.
Het punt dat ik wil maken is dat naar mijn mening elke site zijn zaken adequaat dient te beveiligen; schat de bedreigingen goed in, en tref daar passende maatregelen tegen. In het dagelijks leven houden we er ook niet rekening mee dat we als individu elk moment door de bliksem getroffen kunnen worden, totdat er een reëele indicatie van deze bedreiging is. Een hoge kantoortoren weet dat deze bedreiging veel dichterbij is, en neemt daarom wel de maatregelen ervoor (bliksemafleider
Advies voor jou en andere website-eigenaars: verdiep je in de huidige internetcultuur, leer wat over de verschillende mogelijke aanvallen en de relaties tussen de aanvallers en de doelwitten.
Met vriendelijke groet,
HWR
Anoniem: 378409
Website beveiliging is inderdaad een vak op zich. Maar in essentie hoeft het niet ingewikkeld te zijn. Voor een kleine webshop in eigen beheer is het, mits de boel netjes is opgezet, nog redelijk te overzien.
Door je aan een paar hele simpele basisregels voor data security te houden voorkom je al de grootste ellende. Dingen zoals in dat lijstje zijn echt de absolute basics. Bedenk WAT je opslaat (is het nodig?) en HOE je het opslaat (gaat dat veilig?).
Door je aan een paar hele simpele basisregels voor data security te houden voorkom je al de grootste ellende. Dingen zoals in dat lijstje zijn echt de absolute basics. Bedenk WAT je opslaat (is het nodig?) en HOE je het opslaat (gaat dat veilig?).
Weet niet of je dat letterlijk bedoelt, maar daar gaat het dus al mis: wachtwoorden moet je niet opslaan. Als eventuele hackers -desnoods inbrekers die fysiek bij je provider inbreken en de server met jouw website meenemen- bij de echte, originele passwords van je klanten kunnen komen, da's bijna de grootste blunder die je kunt maken (op het leegroven van hun bankrekening of credit card gegevens na).LeVortex schreef op dinsdag 14 juni 2011 @ 13:30:
maar username + ww moeten toch altijd blijven staan
Pagina: 1