ඔබගේ වෙබ් අඩවිය කොතරම් දුරට ආරක්ෂිතද?

වෙබ් අඩවි වල හා වෙබ් අයදුම්පත් වල සීඝ්‍ර වර්ධනයත් සමග එයට අනුරූපීව ඒවාට ඇතිවන තර්ජන (threats) සංඛ්‍යාවද ඉහල යමින් පවතී.අන්තර්ජාල නීති විරෝධී ක්‍රියා අතර අනවසරෙන් දත්ත වලට ඇතුල් වීම,  අනන්‍යතා සොරකම, බැංකු හා ණයපත් දත්ත සොරා ගැනීම ප්‍රධාන වේ.විශේෂයෙන් පුද්ගලික Cloud (Personal Cloud) හා වෙළඳ සහයෝගිතා කළමනාකරණ ප්‍රජාව (Vendor Relationship Management communities) යන ඒවායේ වර්ධනයත් සමග මෙම අනාරක්ෂිත වෙබ් අඩවි නිසා ඇතිවන අවදානම් තත්වය වැඩි වෙමින් පවතී. මෙම අනතුරුදායක තත්ත්ව පරීක්ෂා කිරීමේ එක් හොඳ ලැයිස්තුවක් නොමැති අතර පහත විස්තර වන අංග 10ක් සහිත OWASP ලැයිස්තුව ඒ සදහා හොඳ ආරම්භයක් වනු ඇත.ඔබ තොරතුරු තාක්ෂණ අංශයේ උසස් නිලධාරියෙක් නම් හෝ අඩු වශයෙන් ප්‍රධාන විධායක නිලධාරියෙකු නම් ඔබට ඔබගේ වෙබ් අඩවි පරිපාලකගෙන් ඇසීමට පුශ්න කිහිපයක් පහතින් සඳහන් වන අතර දී ඇති පිළිතුරු මත ඔබගේ වෙබ් අඩවියේ ආරක්ෂිතභාවය ඇගයුම් කළ හැක.

1. අනවසරයෙන් දත්ත ලබාගන්නන්ට  වෙබ් අඩවි හරහා මාගේ පරිගණක දත්ත ගබඩාවට ඇතුළු විය හැකිද?

මෙය,ද්වේෂසහගත විධාන එන්නත් කිරීම හරහා නිතරම සිදුවන්නකි.තර්ජනකරුවන් query එකක් මගින් පරිගණක දත්ත ගබඩාවේ ඇති දත්ත මකා දැමීමට හා වෙනස් කිරීමට ද්වේෂසහගත විධාන ඔබගේ පරිගණක දත්ත ගබඩාවට එවනු ලබයි.මෙම තත්ත්වයට එරෙහිව යමින් ඉන් ආරක්ෂා වීමට, දී ඇති විකල්ප අතරින් අවශ්‍ය දේ තෝරා ගත යුතුයි.එසේත් නොමැති නම් එම ද්වේෂසහගත කේතන පරිගණක දත්ත ගබඩාවට ළඟා වීමෙන් ආරක්ෂා වීමට  භාවිතා කරන්නන් ඇතුලත් කරන දත්ත  පෙරන ලද හා ආරක්ෂිත ඒවා විය යුතුය.

2. මාගේ වෙබ් අඩවිය, භාවිතා කරන්නන්ට තර්ජනයක් වීමට යොදා ගත හැකිද?

Cross site scripting යනු විශාල ලෙස පැතිරැණු ආරක්ෂිත අනතුරු වේ. තර්ජනකරුවන් ඉලක්ක කරගත් වෙබ් අඩවියකට ද්වේෂසහගත ජාවා විධානාවලියක් (script) හෝ වෙනත් භාෂාවක විධානාවලියක් ඇතුල් කරන විට මෙය සිදු වේ. භාවිතා කරන්නන් වෙබ් අඩවියට පිවිසෙන විට යම් ඉල්ලීමක් පෙන්වමින් හෝ පුද්ගලික දත්ත සොරකම් කර ගනිමින් එම ද්වේෂසහගත කේතන ඔහුගේ පරිගණකයේ ක්‍රියාත්මක වේ. භාවිතා කරන්නන් යොමු කරන අන්තර්ගතයන් වෙබ් පිටුවක ප්‍රචාරය වීමට ප්‍රථමයෙන් ඒවා පරීක්ෂාකාරී හා පෙරන ලද දේ බවට සහතික කර ගත යුතුය.ඒ සදහා වන හොදම ආරක්ෂකය වන්නේ වෙබ් සුපරික්ෂකයයි.

3. භාවිතා කරන්නන්ගේ සැසි කළමනාකරණය (User’s session management) ආරක්ෂිත වේද?

භාවිතා කරන්නන් වෙබ් අඩවි වලට පිවිසෙන විට සැසි ID එකක් විවෘත වන අතර ඔවුන් යම් හේතුවකට ඉන් නික්මෙන විට සාමාන්‍යයෙන් එම සැසි ID කල් ඉකුත් වීම සිදු නොවේ. සැසි ID, මුරපද වැනි සත්‍ය බවට සහතික කරන දත්ත සොරකම් කිරීම කළ හැක. (සැසි ID සොරා ගැනීම අන් අයටද අලාභයක් විය හැකිය). මෙය සිදු කරන එක් සාමාන්‍ය ක්‍රමයක් වන්නේ තෙවන පාර්ශවයක් ‘sniffing’ IP packets මගින් පරිගණකයට ඇතුල් වීමට මාර්ගය පෙන්වීමයි.දැනට පවතින ඒවාට වඩා පරීක්ෂා කරන ලද සහතික කිරීම් හා සැසි කළමනාකරණ ක්‍රම විකාසකයන් (developers) යොදා ගන්නේ නම් එය වඩාත් සුදුසුය. 
4. මාගේ ලිපිගොනු වල ඇති දත්ත, අනවසර දත්ත ලබාගන්නන්ට ඉලක්ක කළ හැකිද?

ලිපිගොනු ,නාමාවලි, පරිගණක දත්ත ගබඩා වාර්තා යන පද්ධතියක ඇති අභ්‍යන්තර දේවල් (object) ඒවායේ නියම නාමයෙන් බාහිර පාර්ශවයන්ට විවෘතව තැබීමෙන් Internal Direct Object References හට ගනී.ඉතා සරල වෙනස් කිරීමක් මගින් අනවසර දත්ත ලබාගන්නන්ට ඒවාට  ප්‍රවේශ වීමටත් දත්ත වෙනස් කිරීමටටත්  හැක.එම තත්ත්වයන් මගහැරීමට ඉහත කී සියලු සම්පත් වලට හොඳ ආරක්ෂිත මට්ටමක් හා එක හා සමාන ආරක්ෂිත පරීක්ෂාවක් තිබිය යුතුය.පසුපෙළ ධාවන අයදුම්පත් මාදුකාංග විසින් පුද්ගල පිවිසීමේ අයිතිය නැවත වතාවක් පරීක්ෂා කළ යුතුය.

5. ද්වේෂසහගත බාහිර පුද්ගලයන්ට වෙබ් අඩවි වල විශ්වාසවන්ත අයෙක් ලෙස පෙනී සිටිය හැකිද?

මෙය Cross site request forgery ලෙස හැඳින්වේ. වෙබ් අඩවි සමඟ ගනුදෙනු කරන සහ වෙබ් අඩවි මගින් විශ්වාස කරන පුද්ගලයෙකු විසින් ද්වේෂසහගත විධාන යවනු ලබන විට මෙය හට ගනී.එම තර්ජනය මගින් පද්ධති පරිපාලකයන්ට අනතුරු විය හැකිය. තර්ජනකරුවන් පරිපාලකයන්ට ප්‍රවේශ වීමට ව්‍යාජ වෙබ් පිටු යවනු ලබයි.මෙවැනි තත්ත්වයන්ගෙන් ආරක්ෂාවීමට සෑම සැසියකටම අනන්‍ය වූ සංකේතයක් (token ) ඇතුලත් කළ යුතුය.

6. වෙබ් අඩවිය ආරක්ෂිත ලෙස හැඩගස්වා තිබේද?

සාමාන්‍යයෙන් බොහෝ වෙබ් අඩවි වල ආරක්ෂාව Web logic, Spring වැනි රාමු මත පදනම් වන ලෙස හැඩගස්වා ඇත.සෑම ආරක්ෂිත patch එකක්ම නිකුත් කිරීම ඉක්මණින් යොමු කළ යුතු අතර නියමිත දිනට පවත්වා ගෙන යාම කළ යුතුය.මෘදුකාංග වල තිබෙන ආරක්ෂක සිදුරු තර්ජනකරුවන්ට ඉතා හොඳ අවස්ථාවන් සපයයි. මෙහි එක් අවාසියක් වන්නේ පද්ධතිය නිසි ලෙස ක්‍රියාත්මක විය යුතු නිසා විකාසකයන් ආරක්ෂාව පිළිබද සුලකිල්ල යම් තරමක් දුරට කැප කර තිබීමයි.එහිදී පද්ධතිය ප්‍රමාණවත් ලෙස දැඩි කර ඇති බවට තහවුරු විය යුතුය.
07.සියුම් දත්ත ආරක්ෂිත ලෙස ගබඩා කර තිබේද?

බොහෝ අයදුම්පත් වල (applications) ණයපත් අංක හා මුරපද වැනි සියුම් දත්ත ඇති අතර අනවසර ප්‍රවේශ වීම් වලින් ඒවා ආරක්ෂා කිරීම අත්‍යවශ්‍ය වේ.එම සියලු තර්ජන වලට මුහුණ දිය හැකි ලෙස ශක්තිමත් කිරීමට සංකේතන ගණිත රීති (encryption algorithm) භාවිතා කළ යුතුය. සංකේතනය නොකළ දත්ත ලබා දීමේදී ඔබ ඉතා පරීක්ෂාකාරී විය යුතුය.

8. මාගේ වෙබ් අඩවියේ URL එක, භාවිතාකරන්නන්ට ලබා දීම අවදානම් සහිත වේද?

සෑම භාවිතා කරන්නෙක්ටම ආවේණික වූ URL එකක් ඇති අතර එයට සමාන අන්‍ය URL ඇති බව අනුමාන කරමින් භාවිතාකරන්නන් නීතිවිරෝධීව ඒවාට පිවිසිය හැක.මින් ආරක්ෂා වීමට සහතික කිරීමේ පරීක්ෂාව (Authentication checks) URL එකෙහි ඉදිරිපෙළ හා පසුපෙළ කෙළවර මත කළ යුතුය.මෙවැනි පිවිසීම් පාලන, වෙබ් අයදුම්පත් වල ස්වාධීනව කළ යුතුයි.

9. මාගේ වෙබ් අඩවියේ ඇති සියලු උපාංග යාවත්කාලීන වේද?

පුස්තකාල (libraries) , සැකිලි (frameworks) වැනි මෘදුකාංග අවයවත් දත්ත නැතිවීම්, අන් අය විසින් පවරා ගැනීම් වැනි අනතුරු වලට භාජනය විය හැකිය.ඔබ තෙවන පාර්ශවයේ අවයව භාවිතා කරන්නේ නම් ඒවා යාවත්කාලීන දැයි තහවුරු කර ගත යුතුය. Patches නිකුත් නොකරන open source මෘදුකාංග භාවිතා කරන්නේ නම් ඒවා නවීනතම අනුවාද (latest version) බවට තහවුරු කර ගත යුතුය. මෙවැනි අවයවයන්හි ආරක්ෂිතභාවය පොදු පරිගණක දත්ත ගබඩා ,ආරක්ෂිත තැපැල් ලැයිස්තු වැනි තවත් දේ මගින් (security mailing lists) අධීක්ෂණය කළ යුතුය.

10. මාගේ වෙබ් අඩවියට භාවිතාකරන්නන් ලබාදෙන සම්බන්ධිත (links) ලබා ගැනීම අනතුරුදායක වන්නේ කෙසේද?

වෙබ් අඩවි භාවිතාකරන්නන් නිරන්තරයෙන් අනෙක් වෙබ් අඩවි වලට හා වෙබ් පිටු වලට සම්බන්ධිත මගින් යොමු වේ.එවිට ඇතැම් විට නොදැනුවත්වම තතුබාන (phishing) හෝ ද්වෙෂසහගත වෙබ් අඩවි වලට යොමු වීම විය හැකිය.(නීත්‍යානුකූල පාර්ශවයකින් ව්‍යාජ, අදාල නොවන තැපැල් පණිවුඩ ලැබීම.) ‍මෙවැනි තත්ත්ව මග හැරිමට හොදම ක්‍රමය වන්නේ ආපසු එවනු ලබන සම්බන්ධිත භාවිතා කිරීමෙන් වැළකී සිටීමයි.එම සම්බන්ධිත පෙර භාවිතා කර ඇත්නම් පරාමිතික (parameters) භාවිතා කොට ඒවා ඉලක්ක කිරීම වැළැක්විය යුතුය. ඉලක්ක කළ පරාමිතික භාවිතා කරන්නේ නම් ඒවා වලංගු සහ අවසර ලත් ඒවා බවට තහවුරු කර ගත යුතුය.

අන්තර්ජාලය නොනැනවතී විකාශයට පැමිණෙන අතර එහි ස්ථිර ආරක්ෂාව සඳහා වන පරීක්ෂණ ලැයිස්තුවක් නොවේ.එසේම එය යම් කාල සීමාවකට වලංගු කළ නොහැක. අන්තර්ජාල අපරාධ ද දිනෙන් දින වර්ධනයට පත් වේ.එමනිසා ඒවා පැමිණෙන ආරක්ෂිත අභියෝග හමුවේ  යාවත්කාලින කිරීම අත්‍යවශ්‍ය දෙයක් වන අතර ඔබගේ ආරක්ෂිත පද්ධති නොනවත්වා වැඩි දියුණු කිරීම කළ යුතුය.

footerimage

Member of

logo apcertfirst logo-2

Collaborated with

apwg2ICTA logo2ack cymru

Our Partners
lanka-certify-logoDark-Lab-Logo2contact