Сводный перечень действий по обеспечению безопасности активного содержимого
- Создайте четкую структуру каталогов, чтобы упростить управление разрешениями на выполнение активного содержимого.
- Убедитесь, что веб-папкам присвоены минимальные разрешения NTFS, позволяющие просматривать содержимое определенным учетным записям.
- Свяжите активное содержимое с программой, которая будет его обрабатывать, включая файлы вставок.
- Используйте программы контроля над исходными файлами для управления изменениями, вносимыми в активное содержимое, и удаления ненужных резервных файлов, сгенерированных редакторами.
- Добавляйте в создаваемый код примечания об авторских правах.
- Осуществляйте проверку вводимых пользователем данных перед их обработкой или отображением.
- Реализуйте кодировку всего содержимого, исходящего от сторонних источников, – от баз данных и вводящих информацию пользователей.
- Убедитесь в том, что весь код проходит процедуру проверки, состоящую из девяти пунктов.
- Настройте и используйте на сайте фильтры ISAPI для защиты собственного кода.
- Используйте кодировщик сценариев Script Encoder для скрытия сценариев на веб-страницах.
- Управляйте доступом к важной информации с использованием ASP, HTTP 401 и EFS.
- Проводите тщательную отладку всех сценариев и исполняемых файлов перед их установкой на защищаемом сервере.
- Реализуйте перехват ошибок для всех сценариев, чтобы предотвратить утечку информации о системе через веб-браузер, но фиксировать ее в файлах журналов.
- Подписывайте код апплетов и макросов, которые понадобятся посетителям при доступе к сайту.
- Не используйте без надобности серверные расширения FrontPage Server Extensions.
- Настройте переменные FPSE для повышения уровня безопасности по сравнению с конфигурацией по умолчанию.
- Используйте протокол исключения роботов Robot Exclusion Protocol или META-теги роботов для запрета индексирования роботами важного содержимого.
Содержание раздела
