Recommended Posts

Сегодня Wordfence (система безопасности сайтов на Wordpress) распространила информацию о проблемах безопасности у пользователей облачного сервиса Clousflare. Отмечается, что на протяжении последних 5 месяцев у пользователей сервиса происходили утечки персональных данных, куки, реквизитов доступа, ключей аутентификации и сведений сертификатов безопасности, в т.ч. с сайтов, работающих по защищенному протоколу и имеющих сертификаты безопасности. Утечки коснулись все сайты и их посетители, работающие через Cloudflare. Посетители сайтов могли видеть информацию других сайтов, адресованную другим пользователям, а так-же смешанные данные - ответы сервера со своими данными + чужими данными.

Полный текст отчета здесь.

Владельцам сайтов на Wordpress рекомендуется сменить соли (ключи безопасности) в файле wp-config.php.

Относительно ситуации с CMS Sitebill, если у кого-то сайт работает через Cloudflare, наверняка могли утечь сведения файла /inc/db.inc.php, содержащего сведения доступа с базе SQL. Наверное не лишним будет перестраховаться и сменить пароль доступа к базе с внесением изменений в указанном файле. Ну и попутно, предложить пользователям сайта сменить свои пароли.

Относительно сертификата безопасности сайта, можно заявить его как скомпрометированный и обновить сертификат.

Рекомендуется так-же очистить куки, кэши, сессии и т.п. (CCleaner поможет)

Утечки специалистами Cloudflare и Google отмечались еще на 18 февраля 2017 г.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Похожие публикации

    • Автор: mykvartira
      Обнаружил несколько ошибок в rss. Хотелось бы исправить и был бы признателен в помощи.
      При выгрузки в коде отсутствует ссылка на само объявление, а также title назначен как категории, дескрипшен отсутствует.
      item> <title>Дома-участки / Дома, Коттеджи / Продажа</title> <link/> <enclosure url="https:/" type="image/jpeg" length="101611"/> <description> <![CDATA[ ]]> </description> Правильно ли я понимаю, редактирование происходит в /apps/rss/admin/admin.php
      В этой части кода
      function echo_realty_item_extended($title, $image_field, $image_field_type, $form_data_shared, $description, $date1) { echo '<item>'; echo '<title>' . htmlspecialchars($title) . '</title>'; echo '<link>' . $href . '</link>'; $this->echo_image_item_or_return_url($image_field, $image_field_type, $form_data_shared); echo '<description><![CDATA[' . $description . ']]></description>'; echo '<pubDate>' . $date1 . '</pubDate>'; echo '</item>'; } Что изменить, для корректной работы? 
    • Автор: Chernetskiy
      Образцы документов для ИП в целях исполнения ФЗ О персональных данных
      Во вложении zip-файлы с пакетами документов. Надо заполнить и распечатать. Ну и зарегистрироваться в качестве агента по обработке персональных данных в Роскомнадзоре.
    • Автор: Chernetskiy
      Поводом для статьи послужил привет от Гугла о том, что с 2017 года поисковик начнет отдавать приоритет сайтам, работающим через защищенный протокол https (соответственно имеющий сертификат безопасности), сайты не перешедшие на https будут понижены в поисковой выдаче а посетителю сайта, при его открытии в браузере будет показываться прискорбное сообщение типа:
      ВАШЕ СОЕДИНЕНИЕ НЕ ЗАЩИЩЕНО!
      Злоумышленники могут пытаться похитить ваши данные с сайта
      (например пароли, сообщения или номера банковских карт!)
      Всё это не на пользу сайту как в плане поисковой выдачи, так и в плане доверия посетителей к информации, размещенной на сайте.
      Инструкция по переезду на HTTPS
      Для начала следует купить и установить на хостинг сертификат безопасности, активировать при этом на хостинге протокол SSL (в настройках домена) и подключить сертификат к домену. Самоподписанный сертификат не подойдет, поскольку его безопасность никто не подтвердит. В нашем случае подойдет любой, самый дешевый сертификат безопасности, которые предлагает практически любой хостинг-провайдер в ассортименте. Цена сертификата варьируется от бесплатно на год при регистрации хостинга, например на reg.ru, или при отдельной покупке - от 1350 р. до 2700 р. в год. Установка происходит автоматически или ручками - по этому поводу у каждого хостинг провайдера есть понятный help, да и их поддержка сделает это быстро, по ваше просьбе.
      PS: Можно приобрести сертификат и на стороне, причем дешевле, о чем несколькими постами ниже...
      Далее, пошагово:
      Смиряемся с тем, что на некоторое время сайт просядет в поисковой выдаче, но из двух зол выбираем меньшее. Сомневаюсь, что кому-то срочно понадобится купить апараменты в Новый год.   Для начала никаких редиректов с http не настраиваем. В Админке CMS переходим в Настройки-Общее и в позиции Работать через https (work_on_https) ставим 1 и сохраняем. Открываем файл robots.txt и прописываем директиву host с протоколом https  User-Agent: * Disallow: /admin ... Disallow: /ipotekaorder/ Host: https://you-site.ru Sitemap: https://you-site.ru/sitemap.xml Внимание! директива Host: прописывается сразу под последней строкой, не должно быть между ними пустой строки.
      Далее переходим в Яндекс.Вебмастер с подтвержденными правами на сайт. Если такого нет, то подтверждаем права (следуя инструкции сервиса). Далее переходим в раздел Настройка индексирования – Переезд сайта. И выставляем чекбокс (галочку) напротив «Добавить HTTPS», после этого нажимаем «Сохранить». После этого ждем пока изменения вступят в силу. Как правило, этот срок составляет 2 недели (до Нового года успеваем!). Настраиваем 301 редирект со страниц http на https, при этом избегайте цепочек переадресации. Меняем все ссылки, имеющиеся в коде сайта, на https или делаем их относительными (про картинки тоже не забываем). Смотрим, чтобы в карте сайта .xml присутствовал только протокол https. Добавляем карту в Вебмастер.Яндекса. Добавляем все версии сайта в Google Search Console. Переходим в настройки сайта и выбираем Основной домен (если этого не было сделано раньше). Переносим все настройки (если такие имелись) с версии сайта http на https. Инструмент изменения адресов не используем. Сразу после переноса сайта стараемся обновить все входящие ссылки, в том числе: внешние ссылки, ссылки на профили - например в Google+, Facebook, Twitter, Vk и т.д. И не забываем обновить ссылки карт Гугл и т.п. с протокола http на https (ковыряемся в коде). В результате танцев с бубном, при открытии любой страницы сайта, ссылка страницы в адресной строке браузера должна начинаться с https, а рядом со ссылкой располагаться зеленый замок и надпись Надежный (в Хроме). Если https перечеркнут - ищите недоработки, ваше соединение не защищено, возможно неправильно установлен сертификат (например со старым алгоритмом шифрования SHA-1, надо переустановить с SHA-2 или попросить поддержку сделать это). Если вместо замочка показывается восклицательный знак, значит передается смешанный контент - по протоколам https и http, обычно это старые ссылки, ссылки на переходах с картинок или пунктов меню (если ссылки прямые), загрузка картинок производится с сервера по старому адресу с http и т.п. При клике на восклицательный знак в ссылке обычно сообщается, какая ссылка не безопасна, переходим в админку или в нужные шаблоны и правим их.
       
      Совет: Если что-то не получается, стучимся к Диме  
    • Автор: XTRO
      (из рассылки IT Patrol inc.)
      C 1 сентября 2015 года в Российской Федерации начинает действовать положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
      Основная цель этого текста, донести до наших клиентов суть закона и как он влияет на размещение вашего сайта на заграничном хостинге. 
      Я постараюсь внести ясность и сделать выжимку трактовки закона.
      Цель данного закона: обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
       
      Хочу сразу указать что данный закон не распространяется  на личный сайт, сайт сообщества, научный, литературный или творческий сайт. При условии что не нарушаются права и законные интересы субъекта персональных данных.
      Самый важный момент, это определение Персональные данные (далее ПД):
      - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
       
      В законе указаны следующие основные категории персональных данных:
      - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
       
      Если исключить пункты, созданные для государственных нужд, для обработки данной категории ПД вам необходимо согласие от субъекта ПД в письменной форме или подписанное электронной подписью.
       
      - биометрические персональные данные - характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных;
       
      Если исключить пункты, созданные для государственных нужд, для обработки данной категории ПД вам необходимо согласие от субъекта ПД в письменной форме.
       
      - в общедоступные источники ПД (в том числе справочники, адресные книги)  могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
       
      Для обработки данной категории ПД вам необходимо согласие от субъекта ПД в письменной форме или подписанное электронной подписью.
       
      Основное беспокойство с размещением сайтов наших клиентов за границей связано со следующим пунктом закона:
      При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
       
      Если исключить пункты, созданные для государственных нужд, остается пункт:
      8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
       
      При этом, оператор, который решает обрабатывать ПД обязан уведомить о своем намерении осуществлять обработку ПД (статья 22 пункт 1).
      Возможна обработка данных без уведомления (статья 22 пункт 2) (не все пункты, выжимка):
       - полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных  - относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных  - сделанных субъектом персональных данных общедоступными  - включающих в себя только фамилии, имена и отчества субъектов персональных данных  - необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях  
       
      Подводя итог, можно сказать следующее. Ваш личный сайт, сайт сообщества, научный, литературный или творческий сайт может быть размещен на заграничном хостинге. При условии что не нарушаются права и законные интересы субъекта персональных данных.
      Если вы осуществляете предоставление услуг, на основе договора - вы не обязаны регистрироваться как Оператор, но обязаны получить письменное или подписанное электронным ключем разрешение от субъекта ПД. При этом вы можете передавать ПД за рубеж при письменном разрешении субъекта ПД .
       
      Если вы анализируете ПД для оптимизации выдачи контента (перечня услуг, товаров) - вы обязаны получить разрешение (в письменном виде или подписанное электронным ключем) субъекта ПД до начала обработки ПД
      Для ПД полученных не от субъекта ПД, вы обязаны до начала обработки ПД послать субьекту данные указанные в статье 18 пункт 3 этого закона. 
      За исключением если ПД были сделаны субъектом ПД общедоступными или получены из общедоступного источника а также если обработка осуществляется для профессиональной деятельности журналиста ибо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных
       
      При этом, чтоб пользоваться зарубежным хостингом, базу клиентов (для осуществления обработки собранных персональных ,систематизации, накопления, хранения, уточнения, извлечения) Вам необходимо хранить на территории Российской Федерации в обязательном порядке с соблюдением всех требований безопасности хранения ПД. 
       
      Запрета на передачу данных в страны, являющихся сторонами Конвенции Совета Европы - нет, но сбор, обработка, накопление, хранение, уточнение и извлечение данных должна происходить из базы данных на территории Российской Федерации
      В случае если вы занимаетесь коммерческой деятельностью, я настоятельно рекомендую Вам обратиться к юристу, для более детального рассмотрения применения данного закона к вашей деятельности.
      Ссылки:
      Текст закона: http://www.consultant.ru/document/cons_doc_LAW_61801/
      Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных http://www.rg.ru/2013/04/26/perechen-dok.html
      Разъяснения к закону: http://www.minsvyaz.ru/ru/personaldata/
      Хороший обзор (смотрите секцию Хостинг за рубежом в контексте персональных данных)
      http://megamozg.ru/post/18456/
       
    • Автор: kmavega
      Добрый день!
       
      Установил SSL-сертификат на домен. При входе на сайт https://domkma.ru стали некорректно отображаться шрифты google. 
      Поменял http://fonts.googleapis.com/css?family=...... на //fonts.googleapis.com/css?family=.......(то есть убрал протокол)
      Шрифты стали отображаться нормально. o`k
       
      Захожу в инструменты разработчика и вижу ещё кучу ошибок, связанных с google. Причем часть из них находится в файле /apps/system/js/jquery/lquery.js
      Как то не хочется лезть в системные файлы и править их. Как быть?