Главная » Кейсы » Обратный звонок » Кейс по продукту RedHelper. Безопасность сайтов.

Кейс по продукту RedHelper. Безопасность сайтов.

Сервис: RedConnect
Отзывов: 3
Кейсов: 3
Читать обзор про «RedConnect»

Обратные звонки и онлайн-консультанты работают с личной информацией посетителей, поэтому нуждаются в тщательном подходе к безопасности. Из этой статьи вы узнаете, как Редхелпер обеспечивает безопасность в своем сервисе. 
 
Безопасность виджета
Частенько владелец сайта может даже не подозревать, что странички его представительства в интернете чем-то заражены. Несомненно, в последнее время хостеры приступили к решению этой проблемы, постоянно выполняя проверку клиентских файлов на присутствие вредоносного кода, но и это, все мы знаем, не лечит от всех проблем.
 
Чтобы обезопасить клиентскую часть, сервисы RedHelper грузятся через iframe. Пользователи, знакомые с этой технологией, уже догадались, в чем суть. Но все-таки рассмотрим одну аналогию. iframe позволительно сравнить с посольством.
 
Что бы страшное не происходило за воротами посольства, внутри него действуют законы страны, чей флаг приветствует посетителей. То же самое можно сказать про iframe-виджета. RedHelper не волнует, какие дыры и угрозы в безопасности имеются на сайте – вся информация вводится в защищенные поля ввода, безопасность которых прописана в серверной части.
 
Безопасность серверной части
Мы стремились защитить RedHelper по самым высоким параметрам от всех существующих угроз. Чтобы не расслабляться, мы время от времени просим знаменитые компании, занимающиеся интернет-сохранностью, выполнить аудит нашей системы. Приятно осознавать, что результаты всегда высокие, а все обнаруженные уязвимости мы быстро убираем.
 
Если рассказывать детальнее, то виджеты обратных звонков и онлайн-консультантов подвержены 5 разновидностям интернет-угроз. Ниже мы поведаем, как противостоит им RedHelper.
 
MITM – Man In The Middle – Человек посередине
Наиболее простая аналогия для данной разновидности уязвимости – прослушка телефона. Но в том, что кто-то может прочесть или удалить сообщения клиента и оператора лишь половина беды – злоумышленник может редактировать их по собственной воле. Причем ни клиент, ни оператор не будут догадываться о присутствии «третьего» в канале.
 
 
Чтобы обезопаситься от этой угрозы мы используем защищенный https-протокол с обязательным ssl-шифрованием. И даже если злоумышленник определенным образом сможет прочесть файлы на сайте, и изменит подключение скрипта с https на http – ничего дурного не произойдет. В RedHelper применяется SSL-сертификат Comodo. Этот бренд входит в линейку мировых лидеров сетевой безопасности.
 
Сертификаты бренда всегда отличались прекрасной защищенностью.
 
Чтобы было ясно, как это работает – давайте вновь воспользуемся аналогией.
Например, вам нужно отправить посылку клиенту Почтой России. Вы приходите в свое отделение, упаковываете посылку и отправляете ее. Но подозревая почтальона Печкина в недобросовестной игре предварительно вешаете на посылку замок. Несмотря на данное от природы любопытство Печкину не остается ничего, кроме как доставить посылку по адресу, так и не узнав содержимого.
 
 
Однако адресат тоже не может открыть посылку, потому что у него нет ключа.
Поэтому ваш клиент помещает на посылку свой замок, и отправляет обратно.
Снова же без ключа. Печкин видя, что теперь на посылке аж два замка, грустит, но привозит посылку обратно. Убедившись в том, что оба замка на месте и следы взлома отсутствуют, вы снимаете замок и в третий раз отправляете посылку.
 
Но теперь клиент может открыть ее своим личным ключом.
 
Печкину, безусловно, пришлось повозиться, но о содержимом посылки он так и не узнал.
 
SQL-injection – Внедрение SQL-кода.
Внедрение вредоносного SQL-кода относится к серии очень опасных рисков на сайте. Возможность удачного «паразитирования» злоумышленника на сайте в случае правильной SQL-инъекции близится к 100% попадания в запрос определенного SQL-кода.
 
Разместив SQL-код злоумышленник может получить стопроцентный доступ ко всем частям сайта – будь то FTP (грозит изменением или потерей файлов), админка сайта (изменение любых сведений на сайте), почтовые сервисы (смогут отправлять письма с вашего домена) или любые другие компоненты. Не говоря о том, что могут украсть всю информацию, содержащуюся в базе данных.
 
 
RedHepler спасается просто, но эффективно – любой исполняемый код, который злоумышленник постарается передать, преобразуется в обычный текст, без вариантов его использования.
 
XSS – Cross Site Scripting – межсайтовый скриптинг
Существует обратная ситуация, когда опасный код вписывают в страницу, которую видит посетитель. При открытии этой страницы код исполнится на компьютере клиента и начнет контактировать с веб-сервисом злоумышленника.
 
Этот риск также очень опасен. С его помощью злоумышленник может не только украсть cookies (иногда даже логин/пароль от личного кабинета посетителя на этом ресурсе), но и устроить настоящую DdoS-атаку на сайт. Это особенно рискованно для сайтов с большой посещаемостью – каждый новый посетитель по желанию злоумышленника будет создавать целое множество запросов, которые в определенный момент выключат сервер.
 
 
В этом случае защита точно такая, как и с SQL-injection – все нужные для работы приложения, серверной части и виджета данные отправляются в виде текста, без возможности выполнения команд.
 
XSRF – Cross Site Request Forgery – межсайтовая подделка запроса
Очень опасная атака, которая приводит к тому, что недоброжелатель может осуществить на неподготовленном сайте множество разных действий от имени других, зарегистрированных посетителей.
 
Какие это действия – перевод денег на счет или со счета, отправка сообщений или смена паролей – зависит от сайта, но в любом случае не ждите ничего хорошего.
 
Эта атака на посетителей сайта задействует недостатки HTTP-протокола. Когда владелец аккаунта онлайн-консультанта посещает зараженный сайт, от его имени тайно отправляют запрос на другой сервер (в указанном примере – на наш), выполняющий определенную вредоносную операцию. К примеру, удаление аккаунта или смена пароля.
 
 
Но для выполнения этого действия требуется много факторов:
  1. Жертва аутентифирована на нашем сервере.
  2. Запрос не должен требовать подтверждения со стороны пользователя.
  3. Подтверждение может быть подделано или проигнорировано атакующим скриптом.
Поэтому любое действие, которое может стать причиной нежелательных последствий, требует подтверждения с пользовательской стороны и зашифровано секретным ключом для контроля запросов, что исключает вероятность атаки.
 
Заключение
Мы очень ревниво относимся к безопасности нашего продукта и личной информации клиентов, а потому стремимся обеспечить надежность со всех сторон – на нашем сервере, на сайте клиента, в приложении оператора. Много раз мы просили фирмы, специализирующиеся на аудитах интернет-безопасности, проверить наши сервисы, и всякий раз мы с честью проходили эти испытания, получая лишь малый список некритичных замечаний, которые убирали в самые сжатые сроки.
 
Для этого мы прикладываем огромные усилия. Наши специалисты постоянно оперативно предпринимают нужные меры по улучшению безопасности – регулярно обновляют сертификаты безопасности и программное обеспечение, отслеживают возможные способы взлома системы и вводят новые формы защиты. Поэтому мы с гордостью может заявить, что на сегодняшний день обратный звонок RedConnect и онлайн-консультант RedHelper являются одними из самых защищенных систем обратной связи с клиентами.