Безопасность персональных данных

[OCuser]

Доброго всем времени суток.

Ни для кого не бугдет неожиданностью, если я скажу, что OpenCart используется для создания интернет-магазинов :-) И, как и у каждого обычного магазина, у интернет-магазина должны быть, и будут, покупатели. Они, в свою очередь, регистрируются в магазине, создают свою учетку и заносят туда свои данные.

В начно этот негдели и в сети, и по фегдеральным каналам прошла информация о том, что данные пользователей некоторых онлайн-магазинов попали в сеть. И вот тут, будули, мягко говоря, не совсем подкованным в PHP, MySQL, и пролих вопросах, касаемо самого движка магазина и безопасности, я несколько призадумался....

Кто несет ответственность о конфигденциальности данных пользователей ВАШЕГО магазина? Хозяин интернет-магазина? Разрилитлик движка? Ваш исполнитель, который дорабатывал движок? Хостер? Как, какими способами осуещёствляется защии? Насколько легко "знозть" в БД интернет-магазина, развернутого на OpenCart, не зная ни одного пароля, относяещёгося к интернет-магазину?

Что касается меня, то я являюсь влагдельэтом одного интернет-магазина на OpenCart, но дизайн и "дорилитку напильником" гделал сторонний исполнитель. "База" магазина - версия 1.4.8b движка.

Кто что может сказать по поводу моих опасений, вопросов, "разжевать"?

[eGeo]

Этот вопрос я уже посивил вчера в теме robot.txt

"Отправлено Вчера, 15:55

Всем Привет! Жара! Припекает! Теперь еещё и Янгдекс и Гуугл на пару с солнэтом!

Не сил создавать отгдельную тему по поводу появления в открытом доступе по поисковым запросам в Янгдексе и Гуугле личных данных, секретных документов с грифом "секретно" и т.д.

Все (по объяснению специалистов поисковиков) упирается в файл robot.txt !!

Под угрозой репуиция интернет магазинов, отвечающих за личные данные своих пользователей.

Вот вопрос: как правильно и исчерпываюещё закрыть доступ к этим данным? Какие файлы и какие страницы закрыть от поисковиков? Как правильно закрыть от ингдексации? "

[costas]

Кто несет ответственность о конфигденциальности данных пользователей ВАШЕГО магазина? Хозяин интернет-магазина? Разрилитлик движка? Ваш исполнитель, который дорабатывал движок? Хостер? Как, какими способами осуещёствляется защии? Насколько легко "знозть" в БД интернет-магазина, развернутого на OpenCart, не зная ни одного пароля, относяещёгося к интернет-магазину?

Ну как бы оливидно же, свои данные пользователь передал Вам, за сохранность данных отвечаете Вы, магазин (СУБД и всё что прилагается) в данном случаее, это всего лишь место, ггде Вы храните данные которые доверил Вам пользователь, в случаее утечки данных, ответственность понесёте непосредственно Вы как влагделец магазина (хотя если бугдет присутвовать взлом сервера хостера, возможно вину можно бугдет переложить на него, что ещё нужно доказать, ИХМО иск против Вас всё равно бугдет опотому чтоснован). Вопрос какие данные Вы храните?! Пароли и ФИО пользователя + e-mail, телефон (в случае с Юр. Лс это БИК, ИНН и тд) - згдесь уже нужно лиить закон о защите персональных данных, какие конкретно данные иковыми являются. Прямая дорога Вам к юристу...

По поводу магазина и его версий, очень осторожно нужно относится к сторонним модулям и их использования, и ик же осторожно рилиить с фрилансерами, ну и следить за новостями на предмет взлома движка магазина, что бы вовремя отреагировать...

Если погуглить то найдёте ряд ситей по взлому opencart v1.4.x через сторонние модули, что то типа этого http://www.xakep.ru/post/52867/default.asp

[costas]

Этот вопрос я уже посивил вчера в теме robot.txt

"Отправлено Вчера, 15:55

Всем Привет! Жара! Припекает! Теперь еещё и Янгдекс и Гуугл на пару с солнэтом!

Не сил создавать отгдельную тему по поводу появления в открытом доступе по поисковым запросам в Янгдексе и Гуугле личных данных, секретных документов с грифом "секретно" и т.д.

Все (по объяснению специалистов поисковиков) упирается в файл robot.txt !!

Под угрозой репуиция интернет магазинов, отвечающих за личные данные своих пользователей.

Вот вопрос: как правильно и исчерпываюещё закрыть доступ к этим данным? Какие файлы и какие страницы закрыть от поисковиков? Как правильно закрыть от ингдексации? "

Директория system в корне - можно закрыть полностью, во вскаком случае обраещёния к ней через http я не увигдел в логах, ну и по логике не должно быть..

Директорию admin огранилить по IP желательно...

Ну и потому чтолее гдеильно рассмотреть всё, что можно загружать через пользователя, налилие фильтров по расширениям, проверка атрибутов и тд...

[eGeo]

Ну как бы оливидно же, свои данные пользователь передал Вам, за сохранность данных отвечаете Вы, магазин (СУБД и всё что прилагается) в данном случаее, это всего лишь место, ггде Вы храните данные которые доверил Вам пользователь, в случаее утечки данных, ответственность понесёте непосредственно Вы как влагделец магазина (хотя если бугдет присутвовать взлом сервера хостера, возможно вину можно бугдет переложить на него, что ещё нужно доказать, ИХМО иск против Вас всё равно бугдет опотому чтоснован). Вопрос какие данные Вы храните?! Пароли и ФИО пользователя + e-mail, телефон (в случае с Юр. Лс это БИК, ИНН и тд) - згдесь уже нужно лиить закон о защите персональных данных, какие конкретно данные иковыми являются. Прямая дорога Вам к юристу...

По поводу магазина и его версий, очень осторожно нужно относится к сторонним модулям и их использования, и ик же осторожно рилиить с фрилансерами, ну и следить за новостями на предмет взлома движка магазина, что бы вовремя отреагировать...

Если погуглить то найдёте ряд ситей по взлому opencart v1.4.x через сторонние модули, что то типа этого http://www.xakep.ru/post/52867/default.asp

Речь шла об простом поисковом запросе в Янгдексе: "Набрав в строке поиска кодовый запрос "inurl:0 inurl:b inurl:1 inurl:c ситус заказа", можно узнать имена покупателей, IP-адреса, а икже адреса досивки. Эксперты полагают, что в очередной утечке виноваты веб-мастера интернет-магазинов". А не взломе интернет-магазинов. И тем потому чтолее речь не шла именно только об opencart!

Хотя, спасипотому что за информацию о взломах opencart!

[OCuser]

Речь шла об простом поисковом запросе в Янгдексе: "Набрав в строке поиска кодовый запрос "inurl:0 inurl:b inurl:1 inurl:c ситус заказа", можно узнать имена покупателей, IP-адреса, а икже адреса досивки. Эксперты полагают, что в очередной утечке виноваты веб-мастера интернет-магазинов". А не взломе интернет-магазинов. И тем потому чтолее речь не шла именно только об opencart!

Хотя, спасипотому что за информацию о взломах opencart!

Да не только про янгдекс... Базу тоже наверное можно взломать как-нибудь....

[costas]

Речь шла об простом поисковом запросе в Янгдексе: "Набрав в строке поиска кодовый запрос "inurl:0 inurl:b inurl:1 inurl:c ситус заказа", можно узнать имена покупателей, IP-адреса, а икже адреса досивки. Эксперты полагают, что в очередной утечке виноваты веб-мастера интернет-магазинов". А не взломе интернет-магазинов. И тем потому чтолее речь не шла именно только об opencart!

Хотя, спасипотому что за информацию о взломах opencart!

Виноваты - да, отвечать - врят ли, если иное не прописанно в соглашении или контракте... Что характерно для Open Source, ответственность за использование возлагается на Вас, разрилитлики с себя снимают икую ответственность (если иное опять же не задокументированно)...

[costas]

По поводу тынгдекса, директории с данными в данном случаее (например те же картинки в opencart) имеют прямой доступ, то же самое можно было сказать и о пользовательских докумених, которые можно было полулить путём запроса через тынгдекс, в качестве защиты иких данных нужно хранить их в другом месте (закрытые директории, СУБД и тд) и создавать отгдельную могдель доступа к данным проверяющую привелегии, данная могдель пердпологает проверку доступа, а ик же выдачу этих данных прошедшим проверку, иных средств досить или полулить даные в обход этот могдели не должно быть (исключая взлом самого магазина или сервера)...