Dai test periodici alle strategie di generazione password, dai protocolli di sicurezza ai template verificati: quando si parla di sicurezza, meglio non lasciar nulla al caso.
Controlli periodici consentono di agire tempestivamente, di anticipare eventuali attacchi, di scoprire eventuali fallE e potervi rimediare prima che si verifichino intrusioni indesiderate.
Esistono test automatici capaci di valutare quanto l’applicazione è effettivamente esposta ed il livello di rischio.
Questi tipo di test vengono lanciati più o meno trimestralmente e sono in grado di individuare eventuali vulnerabilità e rilasciare un’analisi piuttosto accurata con reportistica puntuale di quanto rilevato e strategie di risoluzione.
Non è sufficiente mettere in sicurezza le sole pagine di pagamento: l’intero sito deve essere a prova di attacco.
Come? Innanzitutto applicando una crittografia https all’intera mappa del sito, capillarmente sino alla più indentata pagina-foglia.
Https, ovvero “HyperText Transfer Protocol over Secure Socket Layer” è un protocollo per la comunicazione sicura attraverso una rete di computer utilizzato su Internet.
La sicurezza di HTTPS è garantita dal protocollo TLS sottostante, che in pratica utilizza chiavi private e pubbliche a lungo termine per generare chiavi di sessione a breve termine. Queste chiavi sono utilizzate successivamente per cifrare il flusso dei dati scambiati tra client e server.
Se ci si è affidati a piattaforme esterne “chiavi in mano” come Wordpress e simili riceverete continui alert per il passaggio alla versione più aggiornata del software: questo perché questi tipi di piattaforme aggiungono “pezze” (“patches”) nel tempo, proprio per andare a mettere in sicurezza precedenti falle.
Se invece avete una piattaforma sviluppata ad hoc, in quel caso voi non dovrete pensare a nulla perché saranno i vostri consulenti a tenere aggiornato il sistema.
"Hanno aperto più falle template e plugin wordpress non autorizzati di Anonymous", si dice ;).
Scherzi a parte, è davvero importante che, nel caso in cui utilizziate piattaforme come Wordpress Woocommerce, Magento o simili, i file di template e plugin siano autorizzati dalla casa madre, scaricandoli direttamente dalla piattaforma ufficiale.
Dovrebbe ormai essere superfluo specificare che le password devono essere buone password, invece migliaia di account pullulano tutt’oggi di “1234”, “password” e le immancabili, impenetrabili (sic) “nomedelsito”.
Ma come fare a progettare una buona password con un accettabile valore di sicurezza?
Pensate a quelle applicazioni che -giustamente- rifiutano le vostre date di nascita e v’impongono una serie di parametri.
No, non lo fanno per farvi uscire in ritardo dall’ufficio. Lo fanno per il vostro bene.
Ecco le regole d’oro per la generazione di una password con un buon livello di sicurezza:
Va da sé che se le password sono condivise tra più utenti:
Per oggi è tutto, alla prossima (e ultima) puntata dedicata alla sicurezza nell’eCommerce.
Categorie: