Обратные звонки и онлайн-консультанты работают с личной информацией посетителей, поэтому нуждаются в тщательном подходе к безопасности.
Обратные звонки и онлайн-консультанты работают с личной информацией посетителей, поэтому нуждаются в тщательном подходе к безопасности. Из этой статьи вы узнаете, как Редхелпер обеспечивает безопасность в своем сервисе.
Безопасность виджета
Частенько владелец сайта может даже не подозревать, что странички его представительства в интернете чем-то заражены. Несомненно, в последнее время хостеры приступили к решению этой проблемы, постоянно выполняя проверку клиентских файлов на присутствие вредоносного кода, но и это, все мы знаем, не лечит от всех проблем.
Чтобы обезопасить клиентскую часть, сервисы RedHelper грузятся через iframe. Пользователи, знакомые с этой технологией, уже догадались, в чем суть. Но все-таки рассмотрим одну аналогию. iframe позволительно сравнить с посольством.
Что бы страшное не происходило за воротами посольства, внутри него действуют законы страны, чей флаг приветствует посетителей. То же самое можно сказать про iframe-виджета. RedHelper не волнует, какие дыры и угрозы в безопасности имеются на сайте – вся информация вводится в защищенные поля ввода, безопасность которых прописана в серверной части.
Безопасность серверной части
Мы стремились защитить RedHelper по самым высоким параметрам от всех существующих угроз. Чтобы не расслабляться, мы время от времени просим знаменитые компании, занимающиеся интернет-сохранностью, выполнить аудит нашей системы. Приятно осознавать, что результаты всегда высокие, а все обнаруженные уязвимости мы быстро убираем.
Если рассказывать детальнее, то виджеты обратных звонков и онлайн-консультантов подвержены 5 разновидностям интернет-угроз. Ниже мы поведаем, как противостоит им RedHelper.
MITM – Man In The Middle – Человек посередине
Наиболее простая аналогия для данной разновидности уязвимости – прослушка телефона. Но в том, что кто-то может прочесть или удалить сообщения клиента и оператора лишь половина беды – злоумышленник может редактировать их по собственной воле. Причем ни клиент, ни оператор не будут догадываться о присутствии «третьего» в канале.
Чтобы обезопаситься от этой угрозы мы используем защищенный https-протокол с обязательным ssl-шифрованием. И даже если злоумышленник определенным образом сможет прочесть файлы на сайте, и изменит подключение скрипта с https на http – ничего дурного не произойдет. В RedHelper применяется SSL-сертификат Comodo. Этот бренд входит в линейку мировых лидеров сетевой безопасности.
Сертификаты бренда всегда отличались прекрасной защищенностью.
Чтобы было ясно, как это работает – давайте вновь воспользуемся аналогией.
Например, вам нужно отправить посылку клиенту Почтой России. Вы приходите в свое отделение, упаковываете посылку и отправляете ее. Но подозревая почтальона Печкина в недобросовестной игре предварительно вешаете на посылку замок. Несмотря на данное от природы любопытство Печкину не остается ничего, кроме как доставить посылку по адресу, так и не узнав содержимого.
Однако адресат тоже не может открыть посылку, потому что у него нет ключа.
Поэтому ваш клиент помещает на посылку свой замок, и отправляет обратно.
Снова же без ключа. Печкин видя, что теперь на посылке аж два замка, грустит, но привозит посылку обратно. Убедившись в том, что оба замка на месте и следы взлома отсутствуют, вы снимаете замок и в третий раз отправляете посылку.
Но теперь клиент может открыть ее своим личным ключом.
Печкину, безусловно, пришлось повозиться, но о содержимом посылки он так и не узнал.
SQL-injection – Внедрение SQL-кода.
Внедрение вредоносного SQL-кода относится к серии очень опасных рисков на сайте. Возможность удачного «паразитирования» злоумышленника на сайте в случае правильной SQL-инъекции близится к 100% попадания в запрос определенного SQL-кода.
Разместив SQL-код злоумышленник может получить стопроцентный доступ ко всем частям сайта – будь то FTP (грозит изменением или потерей файлов), админка сайта (изменение любых сведений на сайте), почтовые сервисы (смогут отправлять письма с вашего домена) или любые другие компоненты. Не говоря о том, что могут украсть всю информацию, содержащуюся в базе данных.
RedHepler спасается просто, но эффективно – любой исполняемый код, который злоумышленник постарается передать, преобразуется в обычный текст, без вариантов его использования.
XSS – Cross Site Scripting – межсайтовый скриптинг
Существует обратная ситуация, когда опасный код вписывают в страницу, которую видит посетитель. При открытии этой страницы код исполнится на компьютере клиента и начнет контактировать с веб-сервисом злоумышленника.
Этот риск также очень опасен. С его помощью злоумышленник может не только украсть cookies (иногда даже логин/пароль от личного кабинета посетителя на этом ресурсе), но и устроить настоящую DdoS-атаку на сайт. Это особенно рискованно для сайтов с большой посещаемостью – каждый новый посетитель по желанию злоумышленника будет создавать целое множество запросов, которые в определенный момент выключат сервер.
В этом случае защита точно такая, как и с SQL-injection – все нужные для работы приложения, серверной части и виджета данные отправляются в виде текста, без возможности выполнения команд.
XSRF – Cross Site Request Forgery – межсайтовая подделка запроса
Очень опасная атака, которая приводит к тому, что недоброжелатель может осуществить на неподготовленном сайте множество разных действий от имени других, зарегистрированных посетителей.
Какие это действия – перевод денег на счет или со счета, отправка сообщений или смена паролей – зависит от сайта, но в любом случае не ждите ничего хорошего.
Эта атака на посетителей сайта задействует недостатки HTTP-протокола. Когда владелец аккаунта онлайн-консультанта посещает зараженный сайт, от его имени тайно отправляют запрос на другой сервер (в указанном примере – на наш), выполняющий определенную вредоносную операцию. К примеру, удаление аккаунта или смена пароля.
Но для выполнения этого действия требуется много факторов:
- Жертва аутентифирована на нашем сервере.
- Запрос не должен требовать подтверждения со стороны пользователя.
- Подтверждение может быть подделано или проигнорировано атакующим скриптом.
Похожие кейсы
Кейс по продукту CoMagic для рекламных агентств
Рекламным агентствам важно устанавливать прочные связи со своими потенциальными клиентами, чтобы составлять коммерческие…
Читать кейс
Кейс по продукту CoMagic для сферы телекоммуникации и связи
Большинство компаний, связанных с телекоммуникационными услугами, работают с десятками тысяч клиентов. И все они в основном…
Читать кейс
Кейс по продукту CoMagic для автобизнеса
Может пройти много времени до того, как человек решиться на сделку. За это время он посетит ваш сайт много раз, с разных…
Читать кейс
Кейс по продукту CoMagic для турагентств
Туристическая сфера бизнеса является одной из наиболее конкурентных. Посетители сайта не торопятся с принятием решения о покупке…
Читать кейс