Upload
others
View
15
Download
1
Embed Size (px)
Citation preview
Visoka škola strukovnih studija za
informacione i komunikacione tehnologije
Beograd
WEB PROGRAMIRANJE
WEB DIZAJN
Web informacioni prostor 2
WEB 2.0
Dot-com kompanije kao što su eBay, Google, Yahoo! i druge pomeraju granice eksploatacije Interneta različitim novim Web servisima, a njegova socijalizacija, decentralizacija i integracija različitih gedžeta i aplikacija u sledećim godinama dostiže maksimum
Kovanicu „Web 2.0” kreirao je 2004. godine Tim
O’Rajli, aludirajuci na upgrade verzije različitih programa
Kovanica je upotrebljena da bi definisala nove veze
između velikog broja različitih Web servisa koji su omogućili dinamičniji i ličniji metod komunikacije na Internetu putem kreiranja socijalnih grupa i drugih oblika globalne interakcije
WEB 2.0
U nju nisu inkorporirani odnosi sa non-Web uređajima kao što su iPod, mobilni i PDA uređaji, iako i oni komuniciraju putem on-line metoda i utvrđenih aplikacija (npr. podcast).
WEB 2.0
Elektronska trgovina na web-u
Kupoprodaja dobara i usluga
Cilj je da kompletna transakcija bude realizovana preko web sajta
Razlozi su:
1. Kupovina od kuće
2. Brzina
3. Niže cene (nema radnika, prodajnog prostora ...) 4. Težnja ka primeni tehnologije
Evropske zemlje u procesu stimulacije daju najveće popuste na robu koja se kupuje na ovaj način
Elektronska trgovina na web-u
Kod nas je prvobitno bilo moguće dobiti informacije, izvršiti rezervacije, kao i izvršiti plaćanje, ali bez isporuke robe
Zatim se implementiraju rešenja stranih banaka za potrebe prve prave e-trgovine
Od 2006. do 2007. godine test faza Delta banke i Maxi-ja
Od marta 2007. zvanično počinje i za ostala pravna lica
Elektronska trgovina kod nas
Formalni uslovi:
Kompanija registrovana minimalno 2 godine
Poslovna saradnja sa bankom Intesa bar 6 meseci
Finansijski uslovi:
Prihod u prethodnoj godini 500.000€
Neto dobit u prethodnoj godini
Nema blokada u nekom zadatom periodu
Formalni:
Potpisan ugovor o platnoj kartici sa bankom Intesa
Elektronska trgovina kod nas
Tehnološki preduslovi (klijent): Web hosting (in-house/out-sourced) (gde je oprema i
koji je nivo sigurnosti)
Web shop (pravljen ili kupljen, reaport o radu, oblik i namena radnog okruženja, dimenzionisanje propusnosti sistema sa aspekta broja korisnika)
Tehnološki preduslovi (banka): Implementacija gotovog paketa u Web shop bez
dodatnih interfejsa
3D secure tehnologija platnih kartica
Obezbeđivanje da trgovac ne vidi podatke o korisniku koje poseduje banka
Tipovi transakcija
Paralelno sa procesom autorizacije vrši se i autentifikacija korisnika. Ukoliko banka odobri transakciju sve radnje se obavljaju u istom trenutku (prenos i realizacija)
Prvo se vrši autorizacija. Trgovac dobija potvrdu o ugovorenoj transakciji, i ima 30 dana da isporuči robu. Za to vrema novac klijenta je kod banke. Po isporuci robe, prenose se i sredstva trgovcu (pokušaj sprečavanja zloupotrebe kod isporuke neodgovarajuće robe)
Pogled sa strane banke
Banka ima pravo da odbije zahtev klijenta za realizacijom usluge e-trgovine
Banka ima svoje kriterijume po kojima vrši odabir Poznati kriterijumi su:
Bezbednost web servera (Pix, Firewall)
Broj ljudi koji nadgleda sajt i server
Ko ima kontrolu nad procesima
Kako i koliko se prikupljaju informacije o korisnicima (koliko se podataka od korisnika traži)
Ako se ugovor potpiše, klijent plaća 80.000 din
Provizija za promet je 5% (bruto) prodate robe
POJAM I DEFINICIJA BLOGA
Web log, weblog ili blog je Web aplikacija koja prikazuje na Web strani periodične unose, obeležene datumom i vremenom objavljivanja.
To je hijerarhija teksta, slika, multimedije i podataka, složenih hronološki, koji se mogu videti u Web čitaču. Takva Web strana najčešće liči na dnevnik.
Drugim rečima, blog je Web strana koja sadrži kratak izvod, komade informacija, koje se zovu unosi.
Oni su u formi analiza, kritika, stavova, iskustava, emocija i pogleda, koje pojedinac želi da podeli sa drugima.
POJAM I DEFINICIJA BLOGA
Aranžirani su po obrnutom hronološkom redosledu – najnoviji su prvi na strani.
Svaki unos je jedinstveno obeležen sidrom i linkom, tako da može biti preporučen drugima - linkovan.
Značaj bloga se ogleda u sledećem: pojedinac može sam kodirati skript koji će koristiti za svoj blog, ili koristiti već postojeći i izmeniti ga prema svojim potrebama.
Međutim, prava vrednost bloga je u tome, što je moguće jednostavno kreirati i voditi blog koristeći postojeće servise, a bez ikakvog tehničkog znanja.
Bezbednost servera
Najveći problem bezbednosti ogleda se kroz instalaciju Web servera. Na taj način dozvoljava se pristup serveru da bi se sa njega učitala Web prezentacija
Na isti način dozvoljava se pristup i sadržajima
koji nisu predviđeni da budu javni, ili čak celim lokalnim mrežama povezanim na taj server
Rezultat hakerovanja na Web server može biti
fizička promena Web prezentacije ili pristup i krađa podataka za čiju se bezbednost garantovalo (brojevi kreditnih kartica, vrednost transakcija, adrese, brojevi telefona...)
Bezbednost servera
Uslov za bilo koji neovlašćen pristup Web serveru su softverske greške tj. bezbedonosne rupe
Problem nastaje u balansiranju dva relativno
kontradiktorna uslova. Prvi, da se što više smanji pristup serveru iz razloga sigurnosti i drugi, da se što više poveća pristup da bi se povećao broj različitih formata i tipova Web prezentacija koji se na njemu hostuju
Ova dva uslova softversku osnovu pronalaze u
konfiguraciji Web servera i Firewall-a Pored ovih napada može se izvršiti i presretanje
informacija u toku prenosa (TCP/IP)
Bezbednost servera
Loše konfigurisan Web server može napraviti rupu u najbolje dizajniranom Firewall sistemu
Loše konfigurisan Firewall sistem može napraviti
Web prezentaciju neupotrebljivom U ovom trenutku Unix sistemi obezbeđuju bolju
sigurnost nego Windows Razlog ovoga je startno bolji i organizovaniji
sistem zatvorenih portova za razliku od Windows-a gde su svi portovi otvoreni a konfiguracija NT fajlova vrlo komplikovana i teško ju je pravilno konfigurisati
Krađa sajtova
Zahvaljujući velikom broju besplatnih programa danas se kompletan sadržaj nekog sajta može preuzeti sa Web servera
Statistika je pokazala da veliki broj korisnika napravi grešku pri unosu URL adrese
Ovo je poslužilo da se skinuti originalni sajtovi postave na slične adrese u odnosu na originalne i tako korisniku da privid da je na pravom sajtu
Na taj način svi podaci koje korisnik dostavlja sajtu preusmeravaju se neovlašćenom licu
Ovo je najčešće slučaj kod Web stranica banaka, marketa sa on-line porudžbinama i slično (npr. www.disbey.com)
ActiveX objekti
Ova tehnologija je razvijena od strane Microsoft-a Najčešće se koristi za prikaz interaktivne grafike
na Web strani Za sada samo Internet Explorer u potpunosti
podržava ActiveX dok Mozilla Firefox podržava delimično kroz plug-in-ove
ActiveX kontrola nema nikakvih ograničenja po
pitanju sigurnosti To je razlog zašto veliki broj hakera bira ove
objekte za pristup udaljenim korisnicima Jedina zaštita od ActiveX objekata je uslov
digitalnog potpisa
ActiveX objekti
Ukoliko se preuzme ActiveX objekat koji nije digitalno potpisan računar izbacuje upozorenje o potencijalnoj opasnosti. Tada korisnik na svoj rizik dopušta ili zabranjuje ove objekte
Na žalost, postoje i digitalno potpisani objekti koji
sadrže zlonameran kod Programer Fred McLain je kreirao ActiveX
kontrolu pod nazivom Exploder. Ovaj objekat koji je bio digitalno potpisan i verifikovan restartovao je tada aktuelni Windows 95 odmah nakon učitavanja HTML stranice koja je sadržala taj Exploder kod
Cookies
Cookie mehanizam je razvijen od strane Netscape-a
Cookie predstavlja podatak male veličine koji Web strana vraća serveru svaki put kada se korisnik ponovo na nju konektuje
Na ovaj način stvara se prividna iluzija da Web strana koja je ranije posećivana i dalje ostaje u kontaktu sa korisnikom pamtivši sve njegove karakteristične korake
Ovde se najčešće misli na pamćenje password-a za zadati user name, pamćenje izabranih elemenata za on-line korpu, parametre pri podešavanju i sl.
Sigurnost cookie-a
Cookie se ne može iskoristiti za krađu informacija o nama ili računaru
U njemu se najčešće nalaze informacije o našem
tragu na Internetu. Ovo podrazumeva ime i IP adresu računara, tip Web pretraživača, tip operativnog sistema, URL Web stranica koje smo posetili i sl.
Na taj način može se u potpunosti pratiti tok
našeg kretanja po Internetu što donekle može ugroziti privatnost
Najveća zloupotreba cookies-a je kod pamćenja
password-a
DOS napad
DOS napad je skraćenica od Denial Of Service
DOS napad se kreira sa ciljem da zaguši saobraćaj u mreži, na Web serveru a samim tim i onemogući normalno pružanje usluga
Mreža se zagušuje velikim brojem podataka koje u realnom vremenu ne može da obradi pa se drastično usporavaju usluge legalnim korisnicima
DOS napad se najčešće primenjuje na velike i popularne Web sajtove
Distribuirani DOS napad
Distribuiran DOS napad koristi veliki broj računara da bi se sinhronizovano napao jedan ili više ciljeva
Najčešće se D-DOS glavni program instalira na
neki računar korišćenjem ukradenih log-in informacija
U tačno određenom trenutku master program počinje komunikaciju sa drugim agent programima instaliranim na računarima bilo gde na Internetu
Dobijanjem komande od mastera agenti
započinju napad na zadati cilj Na ovaj način može se pokrenuti stotine pa čak i
hiljade agenata za nekoliko sekundi
Sigurnost Java Applet-a
Java Applet-i su smešteni na serverskoj strani ali se kompajliraju i realizuju na korisničkoj. Pozivaju se tagom <applet> unutar HTML koda
Browser-i koji podržavaju aplete preuzimaju Java
aplikacije i lokalno ih izvršavaju. Iz tog razloga i sigurnosni rizik se pomera sa
servera na klijenta Zaštita za Java aplete ostvaruju se kroz security
manager objekta. Ovaj objekt ne dozvoljava apletima da izvršavaju sistemske komande, da učitavaju sistemske biblioteke ili manipulišu sistemskim drajverima. Kao dodatna zaštita definiše se tačno određen folder u računaru kome apleti mogu pristupati a ne celom hard disku
Sigurnost Java Applet-a
Apleti mogu direktno uticati na rad memorije i procesora. Ovo može biti rezultat programske greške ili namerno napisanog koda. Cilj je da se korisnički sistem uspori do tačke neupotrebljivosti
Različiti apleti startovani na istom browser-u nisu
zaštićeni jedan od drugog. Iz tog razloga pokretanje dva različita apleta može dovesti do njihovog prepoznavanja i uticaja jednog na drugi u cilju da konkurentski loše radi
Ako je neki aplet neispravan zatvaranjem lokalne
stranice najčešće se ne isključuje i aplet. Zato je potrebno isključenje kompletnog browser-a
Zloupotreba Java Applet-a
Najčešća zloupotreba je korišćenje neiskustva korisnika. Naime, odluka da se preuzme rizik startovanjem apleta je vrlo diskutabilna, zato što se sa instaliranjem apleta instaliraju i pozadinski spy-ware programi. Ovi programi služe da ukradu korisne informacije iz računara, modifikuju pa čak i brišu određene podatke
Da bi se izbegla dozvola za svaki Java aplet Web
browser-i sadrže bezbednosne polise kreirane da smanje eventualnu štetu
Bezbedonosna polisa sadrži set pravila kojima se
opisuje šta i pod kojim uslovima aplet sme da radi sam
Same Origin polisa
Osnovna bezbedonosna polisa JavaScript-a je Same origin polisa. Ona sprečava da skripta učitana sa jednog Web sajta preuzme kontrolu nad skriptom učitanom sa drugog. Na ovaj način neka skripta koja ima veća prava ne može biti zloupotrebljena od strane druge koja ta prava nema
Najčešći primer ovakve zloupotrebe je pisanje skripte koja pamti raspored tastera pri unosu u Web formular i direktno saznaje šifru, broj računa, broj kartice i sl.
Bombardovanje pretraživača JavaScript-om
Pisanje beskonačnih petlji predstavlja najčešću zloupotrebu JavaScript-a. Većina Windows operativnih sistema ne limitira broj procesorskih ciklusa i memorijskog prostora čak i kada taj broj ciklusa pređe svaku razumnu meru
Pisanjem beskonačne petlje procesorsko vreme će se toliko zauzeti da će biti zagušene sve ostale akcije na računaru
Primer takvog koda je
function tag()
{
you_are_it();
}
function you_are_it()
{
tag();
}
tag();
Zauzimanje memorije
Najlakši način za obaranje Web browser-a je zauzimanje sve raspoložive memorije
Kod poznat kao doubling string eksponencijalno raste i većinu browser-a obara za nekoliko sekundi
Primer:
var adiosAmigo = "Sayonara, druskane."; while (true)
adiosAmigo += adiosAmigo;
Zauzimanje memorije
Kod koji se sam replicira može zauzeti svu memoriju browser-a vrlo brzo. Inteligentan način je da se izbegne provera beskonačnih petlji definisanjem dela funkcije kao stringa
Primer:
function uradiponovo() { document.write("<scrip" + "t>uradiponovo() </scrip"+"t>"); }
uradiponovo();
SSL enkripcija
SSL enkripcija podrazumeva upotrebu jednokratnog ključa između klijenta i servera
Tajni ključ najčešće ima 128 bita, što znači da će postojati 2^128 različitih kombinacija
Svaka transakcija koristi različiti ključ pa i ako se uspe sa provaljivanjem ključa unutar jedne transakcije taj ključ ne važi za sledeće transakcije
Toliko za sada