Кейс по продукту RedHelper. Безопасность сайтов.

Обратные звонки и онлайн-консультанты работают с личной информацией посетителей, поэтому нуждаются в тщательном подходе к безопасности. Из этой статьи вы узнаете, как Редхелпер обеспечивает безопасность в своем сервисе. 

 

Безопасность виджета

Частенько владелец сайта может даже не подозревать, что странички его представительства в интернете чем-то заражены. Несомненно, в последнее время хостеры приступили к решению этой проблемы, постоянно выполняя проверку клиентских файлов на присутствие вредоносного кода, но и это, все мы знаем, не лечит от всех проблем.

 

Чтобы обезопасить клиентскую часть, сервисы RedHelper грузятся через iframe. Пользователи, знакомые с этой технологией, уже догадались, в чем суть. Но все-таки рассмотрим одну аналогию. iframe позволительно сравнить с посольством.

 

Что бы страшное не происходило за воротами посольства, внутри него действуют законы страны, чей флаг приветствует посетителей. То же самое можно сказать про iframe-виджета. RedHelper не волнует, какие дыры и угрозы в безопасности имеются на сайте – вся информация вводится в защищенные поля ввода, безопасность которых прописана в серверной части.

 

Безопасность серверной части

Мы стремились защитить RedHelper по самым высоким параметрам от всех существующих угроз. Чтобы не расслабляться, мы время от времени просим знаменитые компании, занимающиеся интернет-сохранностью, выполнить аудит нашей системы. Приятно осознавать, что результаты всегда высокие, а все обнаруженные уязвимости мы быстро убираем.

 

Если рассказывать детальнее, то виджеты обратных звонков и онлайн-консультантов подвержены 5 разновидностям интернет-угроз. Ниже мы поведаем, как противостоит им RedHelper.

 

MITM – Man In The Middle – Человек посередине

Наиболее простая аналогия для данной разновидности уязвимости – прослушка телефона. Но в том, что кто-то может прочесть или удалить сообщения клиента и оператора лишь половина беды – злоумышленник может редактировать их по собственной воле. Причем ни клиент, ни оператор не будут догадываться о присутствии «третьего» в канале.

 

 

Чтобы обезопаситься от этой угрозы мы используем защищенный https-протокол с обязательным ssl-шифрованием. И даже если злоумышленник определенным образом сможет прочесть файлы на сайте, и изменит подключение скрипта с https на http – ничего дурного не произойдет. В RedHelper применяется SSL-сертификат Comodo. Этот бренд входит в линейку мировых лидеров сетевой безопасности.

 

Сертификаты бренда всегда отличались прекрасной защищенностью.

 

Чтобы было ясно, как это работает – давайте вновь воспользуемся аналогией.

Например, вам нужно отправить посылку клиенту Почтой России. Вы приходите в свое отделение, упаковываете посылку и отправляете ее. Но подозревая почтальона Печкина в недобросовестной игре предварительно вешаете на посылку замок. Несмотря на данное от природы любопытство Печкину не остается ничего, кроме как доставить посылку по адресу, так и не узнав содержимого.

 

 

Однако адресат тоже не может открыть посылку, потому что у него нет ключа.

Поэтому ваш клиент помещает на посылку свой замок, и отправляет обратно.

Снова же без ключа. Печкин видя, что теперь на посылке аж два замка, грустит, но привозит посылку обратно. Убедившись в том, что оба замка на месте и следы взлома отсутствуют, вы снимаете замок и в третий раз отправляете посылку.

 

Но теперь клиент может открыть ее своим личным ключом.

 

Печкину, безусловно, пришлось повозиться, но о содержимом посылки он так и не узнал.

 

SQL-injection – Внедрение SQL-кода.

Внедрение вредоносного SQL-кода относится к серии очень опасных рисков на сайте. Возможность удачного «паразитирования» злоумышленника на сайте в случае правильной SQL-инъекции близится к 100% попадания в запрос определенного SQL-кода.

 

Разместив SQL-код злоумышленник может получить стопроцентный доступ ко всем частям сайта – будь то FTP (грозит изменением или потерей файлов), админка сайта (изменение любых сведений на сайте), почтовые сервисы (смогут отправлять письма с вашего домена) или любые другие компоненты. Не говоря о том, что могут украсть всю информацию, содержащуюся в базе данных.

 

 

RedHepler спасается просто, но эффективно – любой исполняемый код, который злоумышленник постарается передать, преобразуется в обычный текст, без вариантов его использования.

 

XSS – Cross Site Scripting – межсайтовый скриптинг

Существует обратная ситуация, когда опасный код вписывают в страницу, которую видит посетитель. При открытии этой страницы код исполнится на компьютере клиента и начнет контактировать с веб-сервисом злоумышленника.

 

Этот риск также очень опасен. С его помощью злоумышленник может не только украсть cookies (иногда даже логин/пароль от личного кабинета посетителя на этом ресурсе), но и устроить настоящую DdoS-атаку на сайт. Это особенно рискованно для сайтов с большой посещаемостью – каждый новый посетитель по желанию злоумышленника будет создавать целое множество запросов, которые в определенный момент выключат сервер.

 

 

В этом случае защита точно такая, как и с SQL-injection – все нужные для работы приложения, серверной части и виджета данные отправляются в виде текста, без возможности выполнения команд.

 

XSRF – Cross Site Request Forgery – межсайтовая подделка запроса

Очень опасная атака, которая приводит к тому, что недоброжелатель может осуществить на неподготовленном сайте множество разных действий от имени других, зарегистрированных посетителей.

 

Какие это действия – перевод денег на счет или со счета, отправка сообщений или смена паролей – зависит от сайта, но в любом случае не ждите ничего хорошего.

 

Эта атака на посетителей сайта задействует недостатки HTTP-протокола. Когда владелец аккаунта онлайн-консультанта посещает зараженный сайт, от его имени тайно отправляют запрос на другой сервер (в указанном примере – на наш), выполняющий определенную вредоносную операцию. К примеру, удаление аккаунта или смена пароля.

 

 

Но для выполнения этого действия требуется много факторов:

Поэтому любое действие, которое может стать причиной нежелательных последствий, требует подтверждения с пользовательской стороны и зашифровано секретным ключом для контроля запросов, что исключает вероятность атаки.

 

Заключение

Мы очень ревниво относимся к безопасности нашего продукта и личной информации клиентов, а потому стремимся обеспечить надежность со всех сторон – на нашем сервере, на сайте клиента, в приложении оператора. Много раз мы просили фирмы, специализирующиеся на аудитах интернет-безопасности, проверить наши сервисы, и всякий раз мы с честью проходили эти испытания, получая лишь малый список некритичных замечаний, которые убирали в самые сжатые сроки.

 

Для этого мы прикладываем огромные усилия. Наши специалисты постоянно оперативно предпринимают нужные меры по улучшению безопасности – регулярно обновляют сертификаты безопасности и программное обеспечение, отслеживают возможные способы взлома системы и вводят новые формы защиты. Поэтому мы с гордостью может заявить, что на сегодняшний день обратный звонок RedConnect и онлайн-консультант RedHelper являются одними из самых защищенных систем обратной связи с клиентами.