また、その中でお問い合わせフォームのあるホームページを運用しています。
これだけの情報で、セキュリティ上の問題の有無、もしくは懸念について、
判断できることはあるでしょうか?
>古いバージョンのサーバーを切り替えたくない場合、セキュリティ対策の方法はあるでしょうか?
通常、専用サーバーの場合はroot(Administrator)のアカウントが与えれれているのでは?その場合、自分でphpなりmysqlなりOSなりのバージョン管理を行うことができるはずです。(何も考えずにサーバー機のバージョンアップやパッチ適用をするべきではないのは当然ですが)
さて、セキュリティ上の懸念を。
SQLインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリといったどこにでもある脆弱性。
ユーザーの追跡があると、危険な脆弱性になりやすいです。
データが秘密にされなければならない場合、SSLによる保護はなされているか。
パスワードが存在するサイトの場合、パスワードはハッシュにして保存しているか(漏洩時の被害軽減)。
ウェブサービス以外に脆弱性はないか。
anonymous ftpなどが設定されていないか。
FTP,SSHv1,telnetなどの脆弱性のあるサービスを使用していないか。
不要なポートが開いていないか。ポートはステルスになっているか。
passwordによるsshログインの場合、passwordが脆弱でないか。
http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html
SQLインジェクション
データベースを運用している場合、考慮する必要がある対策です。
データベースの中身が流出してしまう恐れがあります。
ご回答を有難うございます
ご回答を有難うございます。
ところで
古いバージョンのサーバーを切り替えたくない場合、セキュリティ対策の方法はあるでしょうか?
或いは、サーバー会社が独自に対応しているようなことは無いでしょうか?
>サーバー会社が独自に対応しているようなことは無いでしょうか?
99%ない
http://www.asahi-net.or.jp/~wv7y-kmr/memo/php_security.html
このあたりを地道につぶしていくしかありません。
バージョンを代えれないのでしたら、その環境でできる最善のことをするしかありません。
セキュリティ上の脆弱性があろうとなかろうと、どんなことが起こると損害になるかを考えて
対策を採るべきです。
たとえば顧客情報がもれたらだめだったらその対策をすればよいです。
>その中でお問い合わせフォームのあるホームページを運用しています
SSLで送信する
DBにデータを格納してるのなら、データは暗号化しておく
たとえばこれだったら、データがもれても暗号化されてますから少しましです。
はっきりとしたアドバイスでとても勉強になります。
ご回答を有難うございました。
>古いバージョンのサーバーを切り替えたくない場合、セキュリティ対策の方法はあるでしょうか?
通常、専用サーバーの場合はroot(Administrator)のアカウントが与えれれているのでは?その場合、自分でphpなりmysqlなりOSなりのバージョン管理を行うことができるはずです。(何も考えずにサーバー機のバージョンアップやパッチ適用をするべきではないのは当然ですが)
さて、セキュリティ上の懸念を。
SQLインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリといったどこにでもある脆弱性。
ユーザーの追跡があると、危険な脆弱性になりやすいです。
データが秘密にされなければならない場合、SSLによる保護はなされているか。
パスワードが存在するサイトの場合、パスワードはハッシュにして保存しているか(漏洩時の被害軽減)。
ウェブサービス以外に脆弱性はないか。
anonymous ftpなどが設定されていないか。
FTP,SSHv1,telnetなどの脆弱性のあるサービスを使用していないか。
不要なポートが開いていないか。ポートはステルスになっているか。
passwordによるsshログインの場合、passwordが脆弱でないか。
ご回答を有難うございました。
とても詳しくご説明いただいて大変助かります。
ご回答を有難うございました。
とても詳しくご説明いただいて大変助かります。