Новостной сайт "news" предоставляет пользователям информационную сводку о событиях, происходящих в стране, включая: - предоставление пользователям информации о событиях, происходящих внутри страны; - открытую/закрытую регистрацию пользователей; - фиксацию действий пользователя; - полнотекстовый поиск по сайту; - навигацию по сайту; - RSS-подписку на ленту новостей; - проведение опросов пользователя; - рассылку новостей зарегистрированным пользователям, подписавшимся на их получение; - онлайн-уведомления пользователей виртуальным помощником о различных событиях программы; - информирование пользователей виртуальным помощником об истории их страны; - предоставление информации в календаре о различных датах в истории страны, ее текущих праздниках, личных праздниках пользователя; - выбор темы дизайна из списка; - русскую/английскую версии; - справку по системе; - возможность задать вопросы по системе.
1. Назначение веб-проекта: - веб-проект 'news' предназначен для организации помощи в решении проблем, имеющих место в обществе; - веб-проект содержит функции для общения, поддержки, мотивации пользователей системы в решении их индивидуальных проблем; - веб-проект предоставляет возможности для самореализации пользователей системы, использования их навыков и способностей для решения проблем, имеющих место в обществе. 2. Пользователь вправе: - использовать любые функции, предоставленные ему веб-проектом в соответствии с его правами доступа; - осуществлять настройки своего личного кабинета, менять пароль для доступа к нему; - пользователь вправе обратиться за помощью к Администрации веб-проекта в случае потери или блокировки его учетной записи. 3. Пользователь обязан: - строго выполнять условия и правила веб-проекта и данного пользвательского соглашения; - рассматривать в короткое время сообщения, направляемые Администрацией проекта; - принимать все необходимые меры для обеспечения конфиденциальности учетных данных, используемых для доступа к личному кабинету; - не предоставлять учетные данные другим лицам; - не предоставлять доступ к своему личному кабинету другим лицам, если это может привести к нарушению правил использования веб-проекта; - информировать Администрацию веб-проекта о несанкционированном доступе к личному кабинету пользователя; - указать точную контактную информацию о себе и вовремя ее обновлять. 4. Пользователю ЗАПРЕЩЕНО: - использовать программное обеспечение и осуществлять действия, направленные на нарушение нормального функционирования веб-проекта, личных кабинетов, как своего, так и других участников; - осуществлять незаконный сбор и обработку персональных данных других пользователей; - пытаться получить доступ к учетной записи и паролю другого пользователя; - размещать на страницах веб-проекта сообщения, содержащие нецензурные слова и выражения; - размещать на страницах веб-проекта сообщения, направленные на пропоганду войны, терроризма и иную информацию, за распространение которой предусмотрена уголовная или административная ответственность в соответствии с действующим законодательством Российской Федерации - указывать несоответствующие действительности контактные данные; - выдавать себя за сотрудника, владельца или уполномоченного представителя веб-проекта; - размещать оскорбления в адрес веб-проекта и его Администрации; - заниматься любым видом мошенничества. 5. Права и обязанности Администрации веб-проекта: - Администрация веб-проекта предоставляет техническую возможность его использования и участвует в формировании личных кабинетов пользователей; - Администрация обеспечивает круглосуточное функционирование веб-проекта, но не гарантирует отсутствия перерывов, связанных с техническими неисправностями или проведением профилактических работ. Администрация не гарантирует, что веб-проект будет функционировать в любое конкретное время; - Администрация вправе отправлять административные сообщения любому пользователю веб-проекта как в личном кабинете пользователя, так и E-mail или телефон, указанные при регистрации; - Администрация вправе блокировать и удалять учетную запись пользователя, осуществляющего мошеннические действия в системе; - Администрация вправе блокировать и удалять учетную запись пользователя, нарушившего правила использования веб-проекта; - Администрация оставляет за собой право в любое время изменить оформление веб-проекта, его содержимое и список сервисов. Администрация вправе изменять или дополнять программное обеспечение и другие объекты, используемые и хранящиеся в системе, любые сервисные приложения в любое время с предварительным уведомлением или без такого; - Администрация веб-проекта осуществляет текущее управление системой, определяет его структуру, внешний вид, осуществляет иные принадлежащие ей права; - Администрация решает вопросы о порядке размешения в системе рекламы, участия в партнерских программах; - Администрация веб-проекта несет ответственность за поддержание системы в рабочем состоянии и выполнение правил системы, изложенных в данном соглашении; - Администрация веб-проекта не несет ответственность за нарушение, сбой либо ограничения в работе платежной системы (используемой на рынке), т.к. не имеет отношения к ней. 6. Заключительные положения: - Пользовательское соглашение вступает в законную силу для пользователя с момента его присоединения к нему и действует на протяжении всего времени пока пользователь зарегистрирован в системе; - Администрация веб-проекта осуществляет за собой право в одностороннем порядке вносить изменения и дополнения к данному соглашению.
Существует множество механизмов защиты приложений: брандмауэры, прокси-серверы, защищенные каналы связи и схемы аутентификации. Однако, чтобы обойти систему безопасности, злоумышленнику достаточно отыскать всего одну лазейку в системе. Здесь приведена информация о наиболее часто встречающихся прорехах в защите приложений, о том, как ими пользуются злоумышленники. Типичные бреши в системе безопасности. Для достижения своих неблаговидных целей злоумышленники самым разнообразным образом используют бреши в системе. Брешь - это слабое место в системе защиты, которую использует нападающий для получения доступа к корпоративной сети или отдельным ее ресурсам. Некоторые бреши (например, слабые пароли) не связаны с неудачным проектом или качеством разработки приложения. Однако их необходимо учитывать в процессе укрепления безопасности информационных систем предприятия. Вот наиболее типичные уязвимые места приложений: - слабые пароли. Они позволяют нападающему получить доступ не просто к отдельному компьютеру, а ко всей сети в целом; - неправильная конфигурация ПО - частая причина уязвимости системы. Если сервисы запускаются под учетной записью локальной системы (Local System) или другой учетной записью с высокими полномочиями, атакующий может использовать сервис для получения доступа к системе и осуществить злонамеренные действия; - социальная инженерия - метод получения у пользователей конфиденциальной информации посредством эксплуатации особенностей человеческой психологии или незнания пользователями принципов безопасности. Например, злоумышленник представляется администратором службы поддержки и под предлогом необходимости выполнения административной задачи узнает у пользователя его пароль; - подключения к Интернету. Параметры по умолчанию в Internet Information Services (IIS) 7.0 предусматривают активизацию ненужных сервисов и открытие неиспользуемых приложением портов. В результате злоумышленник получает дополнительные возможности для проведения успешной атаки. Например, модемные подключения выполняются мимо брандмауэров, защищающих сеть от непрошенных гостей. Узнав используемый модемом телефонный номер и пароль, хакер сможет подключиться к любому компьютеру сети; - передача данных в незашифрованном виде. Если обмен данными между сервером и пользователем осуществляется открытым текстом, велика опасность перехвата, прочтения или изменения сообщения хакером в процессе передачи; - переполнение буфера. Злоумышленники исследуют приложения на предмет возможности переполнения буфера, поскольку это позволяет вызвать нарушение в работе приложения или крах операционной системы. Кроме того, сообщения об ошибках облегчают хакеру обнаружение других брешей; - внедрение SQL (SQL Injection) применяют, если SQL-выражение создается динамически, на основе данных, введенных пользователем. Атакующему иногда удается модифицировать SQL-выражение так, что оно выполняет не предусмотренные создателем программы действия; - секретные данные, прописанные в коде. Много проблем с безопасностью возникает из-за того, что секретные данные, например, пароли или ключи шифрования, прописаны в коде приложения и злоумышленник в состоянии извлечь их. Недостатки традиционных моделей безопасности. Традиционные модели защиты не всегда защищают от опасностей, возникающих в сетевой среде. В большинстве таких моделей доступ к ресурсам предоставляется на основании идентификатора пользователя, от имени которого выполняется код. В этой модели отсутствует механизм ограничения доступа к ресурсам на основе идентификационных данных самого кода. Эту модель защиты можно обойти, если обладающий достаточно широкими правами в системе пользователь по незнанию запустит на исполнение злонамеренный код: - открыв вложенный в сообщение электронной почты файл; - запустив внедренный в Web-страницу сценарий; - открыв загруженный из Интернета файл. Опасности и их категории. Ниже перечислены возможные опасности, грозящие приложению. Они классифицированы в соответствии с моделью STRIDE: - в базах данных существует опасность прямого доступа, при наличии которого не уполномоченные для этого пользователи получат возможность просматривать и изменять конфиденциальные данные (например, статистику посещаемости пользователей); - сервер баз данных может стать недоступным, если на него обрушится лавина пакетов TCP/IP; - посторонние пользователи или приложения получают возможность просматривать журналы аудита, а также изменять или удалять содержащиеся в них данные; - посторонние лица перехватывают и просматривают пакеты аутентификационного протокола LDAP (Lightweight Directory Access Protocol). На основании информации пакетов злоумышленник может понять, как реализовать олицетворение (impersonate) другого пользователя. В частности, простой оператор сможет действовать от имени редактора; - данные, которыми обмениваются Web-браузер и Web-сервер, уязвимы - они доступны для просмотра посторонним пользователям. Это чревато компрометацией важной информации, в том числе паролей, личной информации пользователей; - Web-сервер может стать недоступным. Более того, злоумышленник может развернуть вместо него подставной Web-сервер. Ясно, что это вызовет компрометацию всей информации, поступающей от браузера; - в обрабатываемые браузером Web-страницы можно внедрять вирусы и черви. При отображении Web-страницы этот зловредный код исполняется и способен нанести значительный урон компьютеру пользователя. Методы противодействия опасностям. Они делятся на две категории: общие методы и методы модели STRIDE. Ниже описаны некоторые из общих методов: - аутентификация и авторизация. Аутентификация позволяет выяснить, действительно ли объект является тем, за кого себя выдает. Авторизация - это процесс определения прав доступа к ресурсам; - защищенная связь. Необходимо обеспечить безопасность связи между уровнями приложения, чтобы предотвратить изменение данных в процессе передачи или при их нахождении в очереди. Для безопасной связи применяются: -- SSL (Secure Sockets Layer). Этот протокол позволяет построить шифрованный канал связи между клиентом и сервером; -- IPSec применяется для защиты данных, которыми обмениваются пары компьютеров, например, серверы приложений и базы данных; -- виртуальные частные сети (Virtual Private Network, VPN) позволяют организовать связь типа 'точка-точка' (поверх IP) через Интернет (или другие сети). - качество сервиса (Quality of Service, QoS). Обеспечение профилирования сообщений, приходящих в систему; - ограничение числа входящих запросов (throttling). Ограничение количества сообщений, приходящих в систему. Если не контролировать число поступающих в систему сообщений, она может 'потонуть' в потоке сообщений; - аудит. Процесс сбора и сохранения информации о действиях пользователей и важных событиях с целью последующего анализа. Его также называют журналированием (logging). Приложения часто регистрируют информацию о важных событиях в журналах событий Windows. Вы можете использовать эти записи для аудита доступа к системе и устранения неполадок; - фильтрация. Перехват, проверка и контроль поступающих в систему сообщений; - наименьшие привилегии. Пользователям предоставляется минимальный уровень привилегий, достаточный лишь для выполнения задач, и не более того. Ниже приводится сокращенный список методов предотвращения опасностей, применяемых к различным категориям STRIDE: - аутентификация; - защита секретной информации; - записи аудита; - отказ от хранения секретной информации; - конфиденциальные протоколы; - авторизация; - хеши; - коды аутентификации сообщений; - цифровые подписи; - безопасные протоколы; - временные метки; - фильтрация; - ограничение числа входящих запросов; - качество сервиса; - минимизация привилегий.
Авторское право © Рефинанс.Ру, 2011-2019. Все права сохранены. Общество с ограниченной ответственностью «Рефинанс.Ру».Заказчик проекта: Акулов В.А. Генеральный директор: Малышев М.К. Бухгалтер: Федотова. Л.Н. Корпоративный юрист: Гребнев А.В. Начальник отдела: Гончаров А.А. Аналитик требований: Смирнов А.Б. Руководитель группы разработки: Плетнев В.А. Дизайнер проекта: Шумов Роман. Front-end разработчик: Петров П.К. Веб-разработчик: Дмитриев Д.П. Тестировщик: Аксенов С.М. Администратор: Андреев М.М.Проект разработан на американской электронной базе с использованием процессоров корпорации intel core i5, с использованием операционной системы ОС Windows 7/8 корпорации Microsoft, с использованием среды разработки IDE MS Visual Studio 2010, c использованием инструментов создания конструкторских документов MS Office Word 2010, MS Office Visio 2010, с использованием инструментов разработки веб-дизайна Adobe Photoshop CS3/CS4/CS5, с использованием инструментов представления полученных результатов MS Office PowerPoint 2010, MS Paint, с использованием веб-браузера Firefox 58.0 и выше, с использованием поисковика Google, с использованием электронных ресурсов, размещенных в сети интернет.