18.6. Резюме

При разработке и администрировании приложения очень важно обдумывать вопросы возможного несанкционированного использования вашего (или используемого вами) кода, аппаратного и программного обеспечения.

Можно дать следующие рекомендации, о которых следует помнить в первую очередь при разработке веб-приложений:

1. Проверяйте все данные, приходящие от пользователя (ограничивайте длину, разрешенные символы, запретите использовать в тексте сообщений HTML-теги, подключающие внешние ресурсы или скрипты, проверяйте на наличие скриптов и вирусов загружаемые на сервер документы и картинки и т. д.).

2. При использовании парольной аутентификации используйте средства противодействия автоматизации («captcha»).

3. При необходимости, используйте методы криптографической защиты (криптографические сетевые протоколы).

4. При поддержке сессий, генерируйте случайные достаточно длинные идентификаторы сессии и в течение сессии их обновляйте, установите таймауты сессий.

5. Не передавайте клиенту информацию, кроме необходимой (никаких системных комментариев, системных сообщений об ошибках, информации об используемом программном обеспечении, никаких данных сессии, кроме идентификатора и т. д.).

6. Используйте самое свежее стабильное программное обеспечение, в т. ч. антивирусное программное обеспечение.

7. Пользуйтесь профессиональными сканерами уязвимостей (XSpider, Nikto и др.).

8. Организуйте тщательный мониторинг работы системы, ведите подробные журналы.

228