výroba stránok

tvorba web stránok

Blog

Každý nový potenciálny používateľ niektorej linuxovej distribúcie http://distrowatch.com/ rieši okrem iných návykov aj alternatívy svojich obľúbených a denne používaných Windows programov. Chce aby jeho nový operačný systém bol plnohodnotný, aby nemusel používať dualboot Widows/Linux a občas nebootoval do MS Windows. Samozrejme že táto možnosť je bežná a mnohí využívajú dualboot v prípade že používajú nejaký špecifický Windows program alebo sa učia meniť návyky ako Linuxový užívateľ. Chcem len názorne ukázať, že bežný používateľ môže mať nainštalovaný Linux aj ako single OS a jeho programový výber bude dostatočný.

Nestáva sa často, že by matematici zachraňovali životy miliónov ľudí. Aj preto je príbeh šifrovacieho stroja Enigma používaného nemeckými vojskami počas druhej svetovej vojny taký zaujímavý.

Overeným faktom je, že Linux pracuje oveľa lepšie so sieťou a internetom ako Windows. Zaisto poznáte ten pocit, keď chcete v prieskumníku prezrieť zdieľanú zložku niekoho, kto práve nie je pripojený.

V roku 1984 založil Richard Matthew Stallman projekt GNU, ktorého cieľom bolo vytvoriť plnohodnotné free softvérové vybavenie, ktoré by bolo kompatibilné s Unixom. Slovo free sa však nevzťahuje na cenu, ale na vaše práva, ktoré vám umožňujú free software slobodne používať, šíriť a meniť (anglicky free = zadarmo, ale aj slobodný). Okrem toho založil aj Free Software Foundation a League for Programming Freedom. Richard Stallman vytvoril takisto aj licenciu GPL (General Public Licence).

Elektornická pošta alebo tiež e-mail, je spôsob písania, posielania a prijímania správ v elektronických komunikačných systémoch, akým je na príklad Internet.

Vedeli ste, že Google sa zoznamuje s webstránkami v dvoch krokoch? Ja teda nie. Prvým je indexové prehľadávanie („web crawling“) a druhým je triedenie informácií pomocou indexovania („indexing“).

btcUž niekoľko rokov bitcoin valcuje internet. Pohľad ľudí na bitcoin ako nástupcu platobnej meny je rôznorodý. Niektorí túto technológiu zatracujú, iní ospevujú.

Bitcoin je založený na technológii blockchain. Tá sa dá využiť v rôznych oblastiach digitálneho sveta, v ktorých je potrebná veľká dôvera v systém, vyžadovaná vysoká bezpečnosť a zároveň dostupnosť. Ako táto technológia funguje, napovedá už jej samotný doslovný preklad – reťaz blokov.

Open-source vs. vlastné CMS

O výhodách používania open-source sa popísalo veľa. Je to filozofická otázka prístupu k projektom aj ku klientovi. Ísť do vlastného CMS považujem v dnešnej dobe pri riešení štandartných problémov za určité riziko (bezpečnosť, efektívnosť vývoja). Jednak si vytvárate určitú závislosť na dodávateľovi (tzv. vendor locking) a taktiež je tu možnosť vytvorenia ťažko odhaliteľnej chyby (tzv. security through obscurity). Pri niekoľkých desiatkach inštalácií webstránky by to bola skôr náhoda alebo veľký amaterizmus.

Veľké CMS sú na tom s bezpečnosťou vačšinou rádovo inde. Pri státisícoch projektov je každé riziko problém veľkého počtu ľudí. Veľa inštalácií znamená veľa testovaní a zároveň veľa pokusov o zlomenie systému. Tlaky na vyriešenie bezpečnostných problémov v nich sú preto obrovské.

Najlepšie je, že pri open-source sa problém skôr či neskôr vyrieši “sám” (viď ďalší odstavec).

Bezpečnosť jadra CMS

Našťastie najväčšie open-source (WordPress, Drupal, Joomla, TYPO3) po rokoch vývoja priplávali do relatívne bezpečných vôd a ich jadrá sú pri dodržaní základných pravidiel pomerne v poriadku. Majú zriadené bezpečnostné tímy a procesy, pomocou ktorých sa dajú problémy reportovať a tiež riešiť (DrupalWordPress). Niekoľko krát do roka vychádza bezpečnostná aktualizácia, ktorú netreba ignorovať. V minulosti sa stalo, že aj hlavné verzie mali principiálny problém a niekoľko mesiacov bol web úplne otvorený (SQL injection).

Najčastejšie problémy webstránok platia všeobecne:

  • SQL Injection – databázové dopyty posielané z používateľského vstupu
  • Cross Site Scripting (XSS) –  upravený výstup do prehliadača cez modifikovanú URL (napríklad cez jQuery, WYSIWYG)
  • Cross Site Request Forgery (CSRF) – odosielanie príkazov napr. cez adresy obrázkov, vstupov z formulárov a podobne

Tieto kritické miesta majú oba systémy už za sebou. Minimálne v okruhu Drupalistov (WP neviem) sa téma bezpečnosti riešila na každom stretnutí komunity – konferencii, DrupalCampe, DrupalCone a musím povedať, chvála Bohu! Aj vďaka tomu môžeme lepšie spávať.

Napríklad pri WordPresse sa aktualizácia pluginov deje pár klikmi. Pri security update jadra vám v ideálnom prípade príde mail o úspešnom upgrade systému.

Pri Drupale treba mať zapnutý modul “update manager”,  aby vám chodili notifikácie o potrebe aktualizácie. Update si urobíte manuálne (FTP, drush), alebo vám príde bezpečnostný newsletter.

Bezpečnosť externých modulov a knižníc

Všetky CMS ponúkajú tisíce voľných alebo spoplatnených modulov a pluginov. Aj ich nesprávna voľba môže vážne narušiť bezpečnosť celej stránky. Mnohé z nich používajú navyše externé knižnice, ktoré môžu obsahovať škodlivý kód.

Systémy majú zadefinované „best practices“ pre vývojára modulov, ktoré sú podmienkou pri schvaľovaní kódu. Samotné schvaľovanie nie je jednoduché a trvá dlho. Z časti pomôžu automatické validátory kódu, ktoré odhalia základné chyby (syntax, formát, bezpečnosť), ale finálny krok je na komunite vývojárov. Pre správny vývoj modulov si prečítajte – Drupal coding standards , WordPress best practices , Joomla Best PracticesTYPO3 guidlines.

Napr. Drupal má prepracovaný postup vytvárania modulov.

Zaujímavý je koncept vzájomného schvaľovania modulov – Bonus Program,  je to systém kontroly, kde ak ja skontrolujem minimálne 3 ďalšie projekty a minimálne traja iní skontrolujú môj projekt, proces sa tak urýchli a skvalitní. Celkom potešujúci je aj projekt Pareview.sh, kde sa dajú kontrolovať a testovať celé repozitáre v sandboxe.

Je správne a vyžadované nahrávať externé knižnice (javascript, php) do špeciálneho adresára “libraries”, ktorý je určený len na čítanie.

Chybná konfigurácia CMS

Toto je veľký problém administrátorov webstránok a veľká bezpečnostná diera.

Všetci klikači, občasní implementátori sypte popol na hlavu. Triviálne hesla pre klientov (veď si ich neskôr zmenia), benevolentné nastavenie právomocí v rámci redakčného systému, chýbajúca antispam / boot ochrana, nesprávne nastavenie práva na zápis do adresárov, možnosť čítania settings / config súboru s prístupom do databázy – to sú tie najväčšie chyby, ktoré vás, skôr, či neskôr dobehnú.

Drupal má hneď niekoľko pomôcok. Priamo v kontrole stavu Drupal inštalácie vám vyskočia hlavné problémy (napr. vyššie spomenuté write permissions). Komu to nestačí – môže použiť moduly Security review alebo Hacked na hlbšiu kontrolu zabezpečenia webu. Aj v rámci Drupalu existujú platené služby a DropGuard je jednou z nich, ktorá udržuje váš web v dobrej kondícii.

WordPress má na to tiež modul WP Security Scan alebo platené služby. V tomto ohľade musím pochváliť server administrátorov WebSupportu, ktorý pripravili pre svojich klientov WebScanner, ktorý funguje celkom spoľahlivo. Predpokladám, že chceli uľahčiť život klientom ale hlavne sebe : )

Asi ste zažili zdesený telefonát od klienta, že mu WebSupport posielam mail, že má napadnutú stránku. Toto funguje.

Najväčším problém – aktualizácia

Pre klientov:  Vrelo odporúčam dohodnúť sa s dodávateľom po odovzdaní projektu, nech sa vám o web naďalej stará. Tých „pár eur“ mesačne zvládnete. Rozhodne to vyváži možné riziko.

Pre dodávateľov: Vrelo odporúčam dohodnúť sa s klientom, že mu za „pár eur“ budete webstránku pravidelne aktualizovať, vyhnete sa tak veľkej blamáži.

Asi ste zaregistrovali kauzu posledných týždňov – Panama papers, obrovský únik tajných informácií a dokumentov z daňového raja. Mohli za to vraj okrem Putina neaktualizované verzie WordPressu a Drupalu. Miliónová firma si nevedela zabezpečiť aktualizácie za „pár eur“. Ak to aj bolo inak, je to výstraha pre všetkých.

Viac o téme:

Tipy a triky na záver

Existuje zopár rád, ktorými sa odporúčam držať, okrem vyššie spomenutého.

Dôležitá je voľba dôveryhodného modulu – pluginu. Treba sa orientovať podľa počtu stiahnutí, hodnoteniu, frekvencie aktualizácií, prípadne zoznam a riešenie chýb.

Ak to CMS podporuje, je dobré nepoužívať predvolené nastavenia. Napríklad Drupal ukladá nahrané obrázky a prílohy do adresára “sites/default/files”, ale ľahko ich môžete umiestniť hocikde inde. Podobne to je s adresárom “private”, kde sa ukladajú privátne prílohy, môžete ho nazvať a umiestniť hocikde inde.

Odporúčam si prejsť aj tieto typy na udržanie Drupalu v kondícii, vrátane infografiky update cykloch.

Bezpečnosť open-source redakčných systémov je otvorená téma. Ak sa teda obávate ako klient alebo programátor používať open-source redakčné systémy, nie je sa čoho obávať pri dodržaní bezpečnostných pokynov.
Posolstvo na záver: Aktualizujte!

Autor www.websupport.sk: Peter Pokrivčák

 

Tento článok je určený pre ľudí bez IT znalostí, aby pochopili čo je to vlastne OSS. V článku budem hovoriť aj o téme licencií a autorských práv pri OSS to bude zaujímavá téma aj pre ITčkárov.

Prezrel som si niekoľko e-shopov s bežnou elektronikou a našiel som pomerne veľa zásuviek a predlžovačiek s popismi ako vstavaná prepäťová ochrana, ochrana proti pulzému prepätiu a podobne. Prídeme teda do obchodu a kúpime si takúto predlžovačku v dobrej viere, že budeme mať našu elektroniku v bezpečí.

V tejto, pre bežného používateľa dôležitej, oblasti práce z PC má Linux mnoho softvéru: Mp3 prehrávače, DVD prehrávače, práca s audio súbormi, grafické prehliadače, grafické editory v štýle Photoshopu, vektorové grafické editory, tvorba 3D grafiky, flash animácii, DVD enkódery, strihanie a editovanie videa.

DNS je skratka od domain name system, niekedy aj domain name server (v slovenčine systém doménových mien). Jeho úlohou je preklad doménových mien do ich IP adries.

Ak máte jednoduchý statický web, osobný blog či obyčajnú one-page prezentáciu, asi si poviete, že SSL certifikát nie je pre vás potrebný. Veď nie ste predsa e-shop alebo banka a bez symbolu zámku pri svojej doméne vo webovom prehliadači sa zaobídete. HTTPS (Hypertext Transfer Protocol Secure), má ale aj mnoho ďalších výhod, ktoré určite stoja za pozornosť.