Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Bezpečnostné minimum e-shopu - MastersGate Summit 2017

Bezpečnostné minimum e-shopu - MastersGate Summit 2017

Pár tipov, ako si preveriť, že máte dobré riešenie od svojho dodávateľa. Aké prvky zabezpečenia treba na webe s e-shopovým riešením použiť? Od poskytovateľa, cez HTTPS až po otázky typu - ako sú ukladané heslá, ako fungujú zálohy a veľa ďalšieho.

Fero Volar

April 07, 2017
Tweet

More Decks by Fero Volar

Other Decks in Technology

Transcript

  1. MASTERSGATE ECOMMERCE SUMMIT 2017
    Bezpečnostné minimum
    e-shopu
    7.4.2017 Fero volár
    o

    View full-size slide

  2. 2
    Fero Volár
    head of server products
    o
    KONTAKT
    linkedin.com/in/volar

    View full-size slide

  3. 3
    Serverové riešenia
    o
    SLEDUJTE
    @websupport_sk
    VPS

    Dedikované servre

    Virtuálne dátové centrum

    Storage
    Infraštruktúra Služby
    Správa serverov

    Systémový monitoring

    Zálohovanie
    know-how
    Komplexný setup

    Individuálne riešenia

    Od hostingu po cluster

    View full-size slide

  4. agenda
    1. Kedy je ten správny čas?
    2. Kto je útočník
    3. E-commerce
    4. HTTPS
    5. Tipy
    Obsah prezentacie
    o
    4

    View full-size slide

  5. Kedy je ten správny čas?
    5

    View full-size slide

  6. 6
    o
    Priority
    Parádny názov a logo

    Moderný dizajn
    1

    View full-size slide

  7. 7
    o
    Priority
    Parádny názov a logo

    Moderný dizajn
    2
    Rýchlosť načítania

    Pozícia vo vyhľadávaní

    Reputácia
    1

    View full-size slide

  8. 8
    o
    Priority
    Parádny názov a logo

    Moderný dizajn
    2
    Rýchlosť načítania

    Pozícia vo vyhľadávaní

    Reputácia
    3
    Zálohovanie

    Bezpečnosť

    Komunikačné scénare
    1

    View full-size slide

  9. http://map.norsecorp.com/

    View full-size slide

  10. 11
    SCANner
    10 - 15 minút do prvého scannu

    bad vs good

    Čo chcú
    útočiť na ďalšie systémy

    infiltrovať návštevníkov

    dostať sa k zaujímavým informáciám

    vypnúť server/služby

    SPAMovať

    View full-size slide

  11. E-commerce
    12

    View full-size slide

  12. 13
    E-ecommerce
    aktualizácia (dostupnosť, rollback)

    SQL injection

    Cross site scripting (XSS) - https://securityheaders.io/

    OSS vs komerčný softvér

    ukladanie hesiel (SHA1, MD5)

    zabudnuté heslo - časovo obmedzený token

    funkčné zálohy (interval, doba obnovy)

    systémový monitoring
    Na čo sa spýtať dodávateľa
    o

    View full-size slide

  13. 15
    HTTPS
    celý web na HTTPS
    DV vs EV certifikat
    Google preferuje HTTPS weby - http://bit.ly/1Rnl2Gp
    prehliadače budu viac a viac prísne

    nezabezpečený formulár - http://bit.ly/2nY768H

    https://www.ssllabs.com/ssltest/

    Slovenské banky a HTTPS - http://bit.ly/2ogyVNw

    HTTP/2
    Zabezpečený hypertextový prenosový protokol
    o

    View full-size slide

  14. 18
    TIPY
    aktualizácie: systém, CMS, pluginy
    zálohujte

    HTTPS všade

    zabezpečujte

    všetko zopakujte
    To najdôležitejšie
    o

    View full-size slide

  15. Sú len dva typy firiem –
    tie, čo už boli hacknuté,
    a tie, čo o tom nevedia
    19
    — staré indiánske príslovie

    View full-size slide

  16. o
    Ďakujem
    7.4.2017 Fero volár
    WebSupport, s.r.o.
    Staré Grunty 12

    841 04 Bratislava

    Slovensko
    Adresa
    [email protected]

    www.websupport.sk

    Kontakt
    Key Account Manager

    Tel.: +421 911 979 905

    [email protected]

    Sales

    View full-size slide