साइट डेवलपर्स और एडमिन के लिए सुरक्षा अनिवार्य है

सभी तकनीकी विषयों में, सुरक्षा संभवतः सबसे जटिल है, और निश्चित रूप से सबसे महत्वपूर्ण है। ऐसा इसलिए है क्योंकि सुरक्षा हमेशा विकसित हो रही है। यह एक मजबूर विकास है, क्योंकि हमें लगातार उभरते खतरों के अनुकूल होना चाहिए।

सुरक्षा के विभिन्न स्तर हैं जिनकी जिम्मेदारी हमारे पास होगी। पहला स्तर स्वयं या हम जिस संगठन के लिए काम करते हैं। दूसरा स्तर हमारे ग्राहक हैं। और तीसरा स्तर उन वेबसाइटों या अनुप्रयोगों के उपयोगकर्ताओं का है जो हम अपने ग्राहकों के लिए विकसित करते हैं।

हमारे सर्वोत्तम प्रयासों के बावजूद, ग्राहक हमेशा उनके लिए हमारे द्वारा प्रदान की जाने वाली सुरक्षा को कमजोर करने के तरीके ढूंढेंगे। वे हमें आईटी पेशेवरों के रूप में भरोसेमंद रूप से सुरक्षित रहने में मदद करते हैं, लेकिन विरोधाभासी रूप से भी शायद ही कभी सुरक्षा सलाह का पालन करें हम उन्हें प्रदान करते हैं। अधिकांश उपयोगकर्ता वास्तव में हैं उनके अपने सबसे बुरे दुश्मन।

फिर हमें ग्राहकों के लिए अपनी सुरक्षा से समझौता करना जितना मुश्किल हो सकता है, करना उतना ही मुश्किल है, जबकि यह उनके लिए उतना ही आसान है जितना कि उन्हें उन कार्यों को करने के लिए जो उन्हें करने की आवश्यकता है। पूर्णता के लिए दोनों लक्ष्यों को प्राप्त करना असंभव हो सकता है, लेकिन इस लेख में हम कुछ चीजों को शामिल करेंगे, जो आप सुरक्षा भंग होने के जोखिमों को कम करने के लिए कर सकते हैं।

द्वारा gif Patswerk

अपने उपकरणों और डेटा की सुरक्षा करना

आप अपने और अपने ग्राहकों के लिए रक्षा की पहली पंक्ति हैं। यदि आपके सिस्टम से समझौता किया जाता है, तो आपके लिए काम करने वाला हर कोई जोखिम में हो सकता है। न्यूनतम जोखिमों के लिए यहां कुछ अनुशंसाएं दी गई हैं जिनसे आप जोखिम वाले वातावरण में परिचालन से बच सकते हैं:

  1. एक सुरक्षित डेस्कटॉप ऑपरेटिंग सिस्टम का उपयोग करें। यदि आप पहले से ही सुरक्षित ऑपरेटिंग सिस्टम का उपयोग नहीं कर रहे हैं तो यह एकल सबसे बुनियादी अपग्रेड है। सबसे सुरक्षित ऑपरेटिंग सिस्टम लिनक्स, यूनिक्स और बीएसडी हैं। आपको इन ऑपरेटिंग सिस्टमों में से एक को अपने प्राथमिक डेस्कटॉप ऑपरेटिंग सिस्टम के रूप में उपयोग करना चाहिए।
    डेवलपर्स और प्रशासकों दोनों के लिए बोनस आपको मुफ्त विकास और सुरक्षा उपकरणों की एक बहुत बड़ी लाइब्रेरी तक पहुंच प्रदान करता है, और उनमें से अधिकांश अपने विंडोज या ओएसएक्स समकक्षों की तुलना में बेहतर काम करते हैं। वास्तव में पैरानॉयड मोड में काम करने के लिए, अधिक सुरक्षित लिनक्स डिस्ट्रोस चुनें जैसे तोता, Qubes, तथा पट.
  2. ऑपरेटिंग सिस्टम और आपके डेटा के बीच अलगाव बनाए रखें। यदि आप लिनक्स या यूनिक्स चला रहे हैं, तो यह आसान है। आप बस यह सुनिश्चित करें कि आपने अपने घर के विभाजन को होस्ट करने के लिए एक विभाजन या अलग हार्ड डिस्क बनाई है। फिर सभी उपयोगकर्ता फाइलें किसी भी ऑपरेटिंग सिस्टम के इंस्टॉलेशन से बच जाएंगी, और एक बोनस के रूप में मल्टी-बूट सिस्टम पर कई ऑपरेटिंग सिस्टम से एक्सेस किया जा सकता है।
  3. यदि आपका सिस्टम क्रैश हो जाता है या अप्रत्याशित रूप से रुका हुआ है, तो डेटा हानि को रोकने में मदद करने के लिए जर्नलिंग फ़ाइल सिस्टम का उपयोग करें।
  4. अपने घर के विभाजन का आइना। नियमित रूप से महत्वपूर्ण फ़ाइलों का बैकअप लें और अनजाने ओवरराइट से बचने के लिए फ़ाइल संस्करण का उपयोग करें।
  5. क्लाउड बैकअप का उपयोग करने पर विचार करें (क्लाउड सिंक के साथ भ्रमित न हों, जो वास्तविक बैकअप के रूप में सुरक्षित और सुरक्षित नहीं है)। अपलोड होने से पहले संवेदनशील डेटा को एन्क्रिप्ट किया जाना चाहिए।
  6. अपने सिस्टम को अपडेट रखें, कभी भी सुरक्षा पैच की अनदेखी न करें। रोलिंग अपडेट्स का उपयोग करने वाले सिस्टम में वह लाभ है जो आपको हमेशा पता चलेगा कि पैच कब उपलब्ध हैं, पैचिंग की क्या आवश्यकता है, और क्यों।
  7. अपने संगठन के भीतर ऐसे लोगों को प्रशिक्षित करें, जो सामाजिक इंजीनियरिंग विधियों के प्रति सतर्क हों, जिनका उपयोग आपके सिस्टम तक पहुँच प्राप्त करने के लिए उनके विरुद्ध किया जा सकता है।
  8. असत्यापित स्रोतों से सॉफ़्टवेयर चलाने से बचें। विश्वसनीय स्रोतों से सॉफ़्टवेयर डाउनलोड करते समय, यह सुनिश्चित करने के लिए फ़ाइल हस्ताक्षर सत्यापित करें कि आपके पास एक प्रामाणिक प्रति है।
  9. अपने कंप्यूटर की भौतिक सुरक्षा बनाए रखें, विशेष रूप से यात्रा करते समय। हर जगह अपने लैपटॉप को ले जाना व्यावहारिक नहीं हो सकता है, लेकिन यह कुछ देने से बेहतर है दुष्ट नौकरानी अपने BIOS को दूषित करें। यदि यह वास्तव में आपके कंप्यूटर को ले जाने का विकल्प नहीं है, तो इसे लॉक करने योग्य मामले में लॉक करें और उस मामले को एक सुरक्षित या अन्यथा सबसे अच्छे रूप में सुरक्षित करें।
  10. हमेशा याद रखें कि एक बेवकूफ बनने की तुलना में पागल होना बेहतर है जो हैक हो गया।

द्वारा चित्रण फैंटम पॉइंट्स क्रिएटिव

ग्राहकों की सुरक्षा करना

आईटी खतरों से ग्राहकों को सुरक्षित रखना मुश्किल है, क्योंकि वे सभी उस खतरे के पैमाने को नहीं समझते हैं। कई लोगों का यह भी मानना ​​होगा कि अगर उनकी साइट से छेड़छाड़ की जाती है, तो यह आपकी समस्या है, उनकी नहीं।

साइट के मालिकों को इसके बारे में पता चले बिना कई साइटों का वर्षों से शोषण किया गया है, क्योंकि साइटों के खिलाफ अधिकांश दुर्भावनापूर्ण हमलों को उनकी उपस्थिति के बारे में पता नहीं चलना चाहिए। इसलिए आप समस्याओं के बारे में बताने के लिए ग्राहकों पर भरोसा नहीं कर सकते। आपको एक सक्रिय दृष्टिकोण लेने की आवश्यकता होगी।

  1. जोखिमों के बारे में अपने ग्राहकों को शिक्षित करने का प्रयास करें। अधिकांश समस्या अज्ञानता के कारण है कि गार्ड के खिलाफ होने का कोई जोखिम है।
  2. कॉर्पोरेट ग्राहकों को सूचित करें कि उन्हें सबसे बड़ा खतरा है अंदरूनी सूत्रों की धमकी अपने स्वयं के कर्मचारियों और ठेकेदारों द्वारा निर्मित (अक्सर अनजाने में, लेकिन हमेशा ऐसा नहीं)। यह भी सुनिश्चित करें कि वे सोशल इंजीनियरिंग, शोल्डर सर्फिंग और डंपस्टर डाइविंग जैसी समस्याओं से अवगत हैं।
  3. सर्वर पैच रखें। नियमित बैकअप करें।
  4. बैक डोर कारनामे या अन्य दुर्भावनापूर्ण गतिविधि के सबूत के लिए स्कैन करें। साइट के लिए फ़ाइल और फ़ोल्डर संरचना को डिज़ाइन करना जितना संभव हो उतना सरल होगा, इससे पता लगाने में आसानी होगी। पता करें कि प्रत्येक फ़ोल्डर में कौन सी फाइलें होनी चाहिए। यदि आपको ऐसी नई फाइलें दिखाई देती हैं जो परिचित नहीं हैं या लगता है कि कंप्यूटर से उत्पन्न नाम हैं, तो यह एक गंभीर लाल झंडा है।
  5. जानिए कि cgi-bin फोल्डर में कौन सी फाइलें होनी चाहिए (ज्यादातर साइट्स के लिए, यह कोई फाइल नहीं होगी), क्योंकि यह दुर्भावनापूर्ण प्रोग्राम्स को चुराने के लिए एक पसंदीदा स्थान है।
  6. समय-समय पर htaccess फ़ाइल की जाँच करें ताकि यह सुनिश्चित हो सके कि इसमें छेड़छाड़ नहीं की गई है।
  7. कोड जो आप लिखते हैं वह एन्कोडिंग और डिकोडिंग स्ट्रिंग्स का व्यापक उपयोग करने या भारी एन्क्रिप्टेड सामग्री को शामिल करने की संभावना नहीं है। यदि PHP फ़ाइलों में असामान्य कोड है, तो यह बहुत संभावना नहीं है कि वे वैध फाइलें हैं। असामान्य चरित्र एन्कोडिंग निर्देश भी एक सस्ता है। उदाहरण के लिए, यह संभव नहीं है कि आपकी वैध फाइलें Windows-1251 एन्कोडिंग में इनकोड की जाएंगी।
  8. एक ब्रीच की पुष्टि करने के बाद, अपने पासवर्ड बदलें। सभी फ़ाइल और फ़ोल्डरों के लिए चेक फ़ाइल अनुमतियाँ सही ढंग से सेट की गई हैं। मॉनिटर के संकेत घुसपैठिए वापस आ गए हैं। अपना पासवर्ड बदलने के बाद भी, हमलावरों के पास एक रास्ता हो सकता है। आपको यह सुनिश्चित करने की आवश्यकता होगी कि वे नहीं करते हैं। जब सर्वर में कोई परिवर्तन किया जाता है, तो आपको ईमेल द्वारा सूचित करने के लिए अपना सर्वर सेट करें।
  9. अपने उपयोगकर्ताओं को उन नियमों को समझाकर, जिन्हें वे समझ सकते हैं, उचित तरीके से पासवर्ड चुनने में मदद करें। यह है कि ज्यादातर लोग अपना पासवर्ड कैसे सेट करना पसंद करते हैं: jenny23 यह तरीका है कि सिस्टम एडमिनिस्ट्रेटर आमतौर पर उन्हें अपना पासवर्ड सेट करने की सलाह देते हैं: n @ ^ 2z`jGAnd - समस्या यह है कि पहला पासवर्ड सेकंड में क्रैक हो सकता है, जबकि दूसरा पासवर्ड क्रैक किया जा सकता है कुछ घंटों में। इसके अलावा कोई उम्मीद नहीं है कि उपयोगकर्ता को अधिक जटिल पासवर्ड याद होगा। यहां एक पासवर्ड का उदाहरण दिया गया है जो दरार में कई जीवनकाल ले जाएगा और कभी भी नहीं भुलाया जा सकता है: Ialwaysfly @ 40,000feet - उपरोक्त पासवर्ड के लक्षण शामिल हैं: लंबाई में 20 वर्ण, ऊपरी और निचले अक्षरों का मिश्रण, जिसमें संख्या और अक्षर दोनों शामिल हैं। गैर-अल्फ़ान्यूमेरिक वर्ण, आसानी से यादगार। एक समान उदाहरण हो सकता है:

    asImove ^ inlife, Iwillnever4getwhereIstartedThere की वास्तव में कोई सीमा नहीं है कि आप पासवर्ड के साथ कितना रचनात्मक हो सकते हैं, और इसके साथ बहुत अधिक लाभ है

    asImove ^ inlife, Iwillnever4getwhereIstarted n @ ^ 2z`jG की तुलना में। पहला उदाहरण (41 मिश्रित वर्ण) दरार करने के लिए समय के अंत तक ले जाएगा और याद रखना आसान है, जबकि दूसरा उदाहरण (8 मिश्रित वर्ण) में दरार हो सकती है छह घंटे से कम और याद रखना लगभग असंभव है। नहीं लगता कि आप सिर्फ एक साथ शब्दों को स्ट्रिंग कर सकते हैं और सबकुछ ठीक हो जाएगा, क्योंकि हैकर्स हैं उस पर। आपको अभी भी मामलों को मिलाने और गैर-अल्फ़ान्यूमेरिक वर्णों का उपयोग करने की आवश्यकता है, लेकिन निश्चित रूप से लंबाई जटिलता से अधिक महत्वपूर्ण है जैसे ही चीजें खड़ी होती हैं। दोनों को मिलाने से आपको उन लोगों पर बढ़त मिलती है जो केवल एक या दूसरे का उपयोग करते हैं।

    अधिकांश शब्दकोश आधारित हमले अंग्रेजी पर ध्यान केंद्रित करते हैं क्योंकि यह सबसे व्यापक रूप से इस्तेमाल की जाने वाली भाषा है और लक्षित करने के लिए सबसे अच्छी साइटों में से अधिकांश (वे क्या उपज सकते हैं के मूल्य के संदर्भ में) अंग्रेजी बोलने वाले लोगों द्वारा प्रबंधित साइट हैं। यदि आप दूसरी भाषा जानते हैं, तो पासवर्ड बनाते समय इसका उपयोग करें।

    के रूप में उत्कृष्ट

    asImove ^ inlife, Iwillnever4getwhereIstarted है, यह अभी भी aMedidaQue ^ enLaVida, nuncaolivdarededondecomence के रूप में सही नहीं है - यह जटिलता की एक और परत जोड़ता है, जिससे पटाखा को बल बल का सहारा लेना पड़ा। केवल बेहतर पासवर्ड बनाने के लिए दूसरी भाषा सीखना थोड़ा अधिक हो सकता है, इसलिए आप जो दूसरी चीज़ कर सकते हैं वह है बस एक अंग्रेजी में जब आप पासफ़्रेज़ डिज़ाइन करते हैं तो बस बहुत बुरा हो जाता है। उदाहरण के लिए:

    asImoov ^ inlyfIwillnevar4getwhereIstarted

    अंतिम के लिए, आप बुरी तरह से वर्तनी वाले विदेशी भाषा के शब्दों का उपयोग कर सकते हैं और सभी स्वरों को लेट स्वरों के साथ बदल सकते हैं:

    4M3d1d4Qu3^3nL4V1d3,nunc40l1vd4r3d3dond3c0m3nc3

    मैं आपके बारे में नहीं जानता, लेकिन मुझे उस प्रकार का धैर्य नहीं होगा। फिर भी, यह एक बहुत ही सुरक्षित पासवर्ड है, और पटाखा को काम की एक पागल राशि करने के लिए मजबूर करता है (उम्मीद है कि फिर पता चलता है कि वे सभी एक्सेस कर चुके हैं, बिल्ली चित्रों का एक संग्रह है)

  10. सुनिश्चित करें कि ग्राहक ईमेल, स्काइप आदि द्वारा संवेदनशील जानकारी भेजने में निहित खतरों को समझते हैं।

द्वारा gif होआंग गुयेन

डेवलपर्स के लिए एक विशेष नोट

हर साल अनगिनत सुरक्षा उल्लंघनों को रोकने के लिए डेवलपर्स के लिए एक त्वरित और आसान सांस्कृतिक बदलाव बस उनकी साइटों की बाहरी निर्भरता श्रृंखला को कम करने के लिए है। हम अनावश्यक रूप से तृतीय पक्ष द्वारा होस्ट की गई स्क्रिप्ट से कनेक्ट कर रहे हैं। इनमें से कई लिपियों की अपनी बाह्य निर्भरताएँ हो सकती हैं। कुछ बाइट्स बचाने के लिए सभी।

जब भी संभव हो, हमें अपनी सभी लिपियों को स्वयं होस्ट करने का प्रयास करना चाहिए। एक लोकप्रिय थर्ड पार्टी होस्टेड स्क्रिप्ट हमलावर के लिए एक आकर्षक लक्ष्य है, क्योंकि स्क्रिप्ट पर नियंत्रण पाने से, हजारों कंप्यूटरों पर कारनामे चलाना संभव है।

समापन टिप्पणी

कंप्यूटर सुरक्षा एक कभी न खत्म होने वाली चुनौती है, और चुनौती के दोनों तरफ बड़ा पैसा है। दांव बहुत ऊंचे हैं, और कोई भी पूरी तरह से सुरक्षित नहीं है, यहां तक ​​कि जो लोग मानते हैं कि उनके पास छिपाने के लिए कुछ भी नहीं है। जीतना ज्यादातर सामान्य ज्ञान का उपयोग करने और सचेत रहने का विषय है, कभी भी खुद को शालीन नहीं होने दें।

हेडर इमेज सौजन्य से जोश वारेन

बोगदान रैंकी

बोगदान इंसपायर्ड मैग का एक संस्थापक सदस्य है, जिसके पास इस अवधि में लगभग 6 वर्षों का अनुभव है। अपने खाली समय में वह शास्त्रीय संगीत का अध्ययन करना और दृश्य कला का पता लगाना पसंद करते हैं। वह भी Fixies के साथ काफी जुनूनी है। वह पहले से ही 5 का मालिक है।