ג'ומלה! ישראל תכנים וסקירות מדריכים לג'ומלה איך תעודת SSL יכולה לסייע באבטחת האתר והוספת פיצ'רים לאתר?
איך תעודת SSL יכולה לסייע באבטחת האתר והוספת פיצ'רים לאתר?

איך תעודת SSL יכולה לסייע באבטחת האתר והוספת פיצ'רים לאתר? איך תעודת SSL יכולה לסייע באבטחת האתר והוספת פיצ'רים לאתר? חם

ג'ומלה! כמערכת לוקחת את נושא האבטחה בצורה רצינית מאוד ופועלת בצורה מתמדת לתיקון כל בעיה שצצה. הדבר אינו אומר שכל האחראיות נופלת על צוות הפיתוח של המערכת וישנם דברים שכל בעל אתר יכול לעשות על-מנת להגן על אתר המבוסס על מערכת ניהול התוכן ג'ומלה!.
שימוש בתעודת אבטחה SSL, מאפשרת שימוש בכמה תכונות המובנות בתוך מערכת ג'ומלה! ויכולה לסייע באבטחת האתר מפני פגיעה באתר ובמשתמשים בו. מעבר לכך, תעודת הSSL יכולה להעניק למערכת ג'ומלה! תכונות נוספות שאולי אינן מוכרות לכם.

מדוע כדאי להשתמש בתעודת SSL באתר?

SSL (או TLS לפי גרסאות חדשות) הוא המנעול הקטן המופיע באתרים מאז נטסקייפ 2.0 אי-שם בשנת 1996. בעוד נהוג לחשוב כי SSL הינו נחלתם של אתרי המסחר, חנויות מקוונות ושאר אתרים בעלי נתונים רגישים, האמת היא כי כל אתר יכול להנות מתוספת האבטחה, כולל אתרים המבוססים על מערכת ניהול התוכן ג'ומלה!.
לא רק שלא נדרש שום תוסף בכדי להנות מתעודת האבטחה, ישנם כמה יתרונות שאפשר להנות מהם באופן מיידי אשר יהפכו את התקשורת מול משתמשי האתר ואפילו מנהלי האתר למאובטחת יותר.

אבל, אין לי שום דבר מיוחד לאבטח!

בודאי שיש! אחד הדברים היותר פגיעים בכל אתר אינטרנט הוא שם המשתמש והסיסמא המקנים גישה לאתר. גם אם אין באתר משתמשים אשר מתחברים לחלקו הקדמי של האתר, בודאי, ישנם מנהלים אשר מתחברים לחלקו האחורי. ללא שימוש בתעודת אבטחה SSL, 'אחרים' יכולים להתחזות לאותם משתמשים בהמון דרכים ולגנוב את המפתחות לטירה.

אז מה הסיכון?

כשמשתמש כלשהו, מתחבר לאתר ג'ומלה!, שם המשתמש והסיסמא שלהם מועברת ברחבי האינטרנט אל השרת בו מאוחסן האתר. חלק זה הוא הברור. מה שאינו ברור מאליו הוא שניתן ליירט את אותו מידע המועבר ברשת (שם המשתמש והסיסמא) לאורך כל קו התקשורת החל מהדפדפן של המשתמש, דרך הראוטר האלחוטי, ספק האינטרנט, אל השרת עצמו. בעוד סביר להניח כי אתרים קטנים אינם מהווים מטרה ל'יירוט' שכזה, הדבר עדיין אפשרי. סביר יותר, כי ככל שהשימוש באינטרנט אלחוטי במסעדות ובתי קפה עולה, ניתן ליירט את פרטי הגישה באויר עוד בטרם יצאו אל עולם האינטרנט.

מה אדם יכול לעשות עם פרטי הגישה שלי לאתר?

אם אתה מנהל האתר ובעל גישה לניהול האתר, אותו אדם, יוכל לעשות ככל העולה על רוחו. בנוסף, עבור המשתמשים האחרים, שימוש יתר בסיסמאות, הינו אחת התופעות השכיחות ביותר ובעוד תחשוב כי הגישה לאתר שלך אינה בעלת ערך גבוה, אותו שם משתמש וסיסמא יכולים לשמש גישה למקום אחר, בין אם זה אתר, חשבון אחסון, או גישה לחשבון הבנק.

כיצד SSL יכול למנוע את כל זה?

למעשה זה פשוט מאוד. במודול ההתחברות של ג'ומלה! ישנה אפשרות פשוטה "להצפין את פרטי ההתחברות" (“Encrypt Login Data”). כאשר ישנה תעודת אבטחה מוטמעת ופעילה באתר, הגדרה זו, תגרום לדפדפן להצפין את שם המשתמש והסיסמא המועברים מטופס ההתחברות לפני שאלו נשלחים אל רשת האינטרנט אל השרת. זה הכל!

הגדרת הצפנת ההתחברות בג'ומלה!

ה-Session Cookies גם כן פגיעות

בג'ומלה!, כשמשתמש מתחבר לאתר, בין אם בחלק הקדמי או בחלק האחורי, עוגייה מיוחדת נוצרת בדפדפן לצורך זיהוי המשתמש. עוגייה זו, נשלחת בכל טעינה של דף באתר על-מנת שג'ומלה! תדע מיהו המשתמש הצופה באותו דף. אותה עוגייה מקנה למשתמש את הרשאות הגישה ומאפשרות לגולש אתמה שכל משתמש או מנהל רשאי לבצע באתר.

אמנם בעצמה, העוגייה אינה מהווה איום, שכן היא עתידה לפוג ולהמחק, זהו דבר שתמיד שווה לאבטח, כמובן בתלות באופי האתר. שימוש בתעודת SSL בכל רחבי האתר, אותה עוגייה תוצפן גם כן. גם כאן, אבטחת היבט זה הינו דבר פשוט ביותר וכל שנדרש הוא שינוי ההגדרה ךשימוש בSSL ("Force SSL") בהגדרות הכלליות של ג'ומלה!. האפשרויות הן "ללא", "ניהול בלבד", "אתר כולו". אם ישנה באתר תעודת SSL מוטמעת אין סיבה להשאיר הגדרה זו על "ללא" ומומלץ מאוד להעביר לפחות ל"ניהול בלבד" אשר תימנע יירוט של פרטי הגישה לניהול האתר למי שאינו מורשה לכך.
הגדרות SSL כלליות לאתר ג'ומלה!

באמת הדבר אפשרי?

בשנת 2010, שוחרר תוסף עבור דפדפן פיירפוקס בשם Firesheep אשר יכול לסרוק באופן אוטומטי רשת אלחוטית על-מנת להראות לעשות שימוש בכל Session Cookie לאתרים פופולרים כגון פייסבוק, גוגל ועוד. אמנם אין תוסף יעודי אשר מבצע משימה דומה על אתרי ג'ומלה, אך הדבר בהחלט אפשרי.

החסרונות בתעודת האבטחה

החסורונות הגדולים שבשימוש בתעודת אבטחה SSL, הן העלות והביצועים. תלוי בחשבון חבילת האחסון שרכשתם עבור האתר כמובן, אך מחירי תעודת האבטחה SSL יכולים לנוע בין 'חינם' ועד לאלפי שקלים בשנה, כאשר באמצע ישנן אפשרויות רבות כגון: תעודת אבטחה שיתופית לכלל חשבונות האחסון בשרת, תעודת אבטחה שנרכשה עצמאית ע"י ספק שירות שלישי כלשהו, תעודת אבטחה שנרכשה דרך חברת האחסון עצמה. בנוסף, ישנו מגוון רחב של תעודות אבטחה SSL אשר מונפקות ע"י גורמים שונים ומקנות רמת אבטחה, הצפנה, ביטוח שונות זו מזו. ככל שרמה זו גבוהה יותר, כל גם המחיר.

אם טווח המחירים תואם את תקציב האתר, כל שנשאר לקחת בחשבון הוא הירידה הקלה ברמת הביצועים באתר שנובעת מכך שקבצים סטטיים כגון קבצי CSS, תמונות ו-JS יוצפנו גם כן ולכן הדפדפן לא יוכל לשמור אותם במטמון הפנימי שלו ויהיה עליו להוריד אותם מהשרת בכל גישה לאתר מחדש. מכאן, שמדובר ביותר בקשות אל השרת ויותר תעבודה שצריכה לרדת בכל פעם מחדש.
בעוד ההשפעה יכולה להיות מינימלית, הדבר תלוי בחשבון האחסון שלכם. בחשבונות אחסון שיתופיים המבוססים על Apache הדבר יורגש הרבה יותר, אך בשרת אחסון המבוסס על Nginx למשל, הדבר יורגש הרבה פחות בשל צורת הטעינה הישירה של קבצים סטטיים. מעבר לכך, ניתן לשפר בצורה משמעותית את הביצועים ע"י מעבר לתוכניות אחסון יעודיות יותר, אך כמובן בעלות גבוה יותר.

האם ישנם יתרונות נוספים לשימוש בSSL

בטח! כל המטרה שלשמה נכתב מאמר זה, היא לענות על השאלה "למה עוד טובה תעודת הSSL?". לפני מספר חודשים, פייסבוק הכריזה כי על-מנת לבצע התתמשקות מולה, ישנו צורך בתעודת אבטחה ומכאן ששימוש ברכיב ג'ומלה! המאפשר חיבור משתמש לאתר עם הפייסבוק כמו זה המופעל כאן באתר. רכיב ה-JFBConnect מביא עימו תכונות נוספות אשר בשבילן, חובה להשתמש בתעודת אבטחה SSL, כמו למשל, הזמנת חברים מתוך הפייסבוק להתחבר לאתר, יצירת טאב בדף הפייסבוק אשר יציג חלקים מתוך האתר.
מכיוון שלרוב האתרים אין תעודת SSL פעילה ומוטמעת, מאמר זה החל בהצגה ראשונית של מדוע כדאי באופן כללי להשתמש בSSL באתר. דברים אשר הינן מחוץ לתחום הפייסבוק בכלל ורכיב הJFBConnect בפרט.

סביר להניח כי ישנן סיבות נוספות רבות לשימוש בתעודת אבטחה SSL באתר ובתקווה כי מאמר זה מספק מספר דוגמאות לכך.
מכירים דרכים נוספות בהן SSL יכול לסייע בשיפור האתר, בפונקציונאליות, או באופן כללי באבטחתו?

מאמר מקורי באתר המגזין של ג'ומלה! העולמי: http://magazine.joomla.org/issues/issue-jan-2013/item/1023-how-ssl-can-secure-and-add-features-to-your-joomla-site.

Powered by JReviews
 

ג'ומלה!ישראל בפייסבוק ג'ומלה!ישראל בטוויטר ג'ומלה!ישראל בגוגל+

Powered By JFBConnect

אחסון בחסות: