Безопасность персональных данных

[OCuser]

Доброго всем времени суток.

Ни для кого не будет неожиданностью, если я скажу, что OpenCart используется для создания интернет-магазинов :-) И, как и у каждого обычного магазина, у интернет-магазина должны быть, и будут, покупатели. Они, в свою очередь, регистрируются в магазине, создают свою учетку и заносят туда свои данные.

В начале этой недели и в сети, и по федеральным каналам прошла информация о том, что данные пользователей некоторых онлайн-магазинов попали в сеть. И вот тут, будучи, мягко говоря, не совсем подкованным в PHP, MySQL, и прочих вопросах, касаемо самого движка магазина и безопасности, я несколько призадумался....

Кто несет ответственность о конфиденциальности данных пользователей ВАШЕГО магазина? Хозяин интернет-магазина? Разработчик движка? Ваш исполнитель, который дорабатывал движок? Хостер? Как, какими способами осуществляется защита? Насколько легко "залезть" в БД интернет-магазина, развернутого на OpenCart, не зная ни одного пароля, относящегося к интернет-магазину?

Что касается меня, то я являюсь владельцем одного интернет-магазина на OpenCart, но дизайн и "доработку напильником" делал сторонний исполнитель. "База" магазина - версия 1.4.8b движка.

Кто что может сказать по поводу моих опасений, вопросов, "разжевать"?

[eGeo]

Этот вопрос я уже поставил вчера в теме robot.txt

"Отправлено Вчера, 15:55

Всем Привет! Жара! Припекает! Теперь еще и Яндекс и Гуугл на пару с солнцем!

Не стал создавать отдельную тему по поводу появления в открытом доступе по поисковым запросам в Яндексе и Гуугле личных данных, секретных документов с грифом "секретно" и т.д.

Все (по объяснению специалистов поисковиков) упирается в файл robot.txt !!

Под угрозой репутация интернет магазинов, отвечающих за личные данные своих пользователей.

Вот вопрос: как правильно и исчерпывающе закрыть доступ к этим данным? Какие файлы и какие страницы закрыть от поисковиков? Как правильно закрыть от индексации? "

[costas]

Кто несет ответственность о конфиденциальности данных пользователей ВАШЕГО магазина? Хозяин интернет-магазина? Разработчик движка? Ваш исполнитель, который дорабатывал движок? Хостер? Как, какими способами осуществляется защита? Насколько легко "залезть" в БД интернет-магазина, развернутого на OpenCart, не зная ни одного пароля, относящегося к интернет-магазину?

Ну как бы очивидно же, свои данные пользователь передал Вам, за сохранность данных отвечаете Вы, магазин (СУБД и всё что прилагается) в данном случаее, это всего лишь место, где Вы храните данные которые доверил Вам пользователь, в случаее утечки данных, ответственность понесёте непосредственно Вы как владелец магазина (хотя если будет присутвовать взлом сервера хостера, возможно вину можно будет переложить на него, что ещё нужно доказать, ИХМО иск против Вас всё равно будет обоснован). Вопрос какие данные Вы храните?! Пароли и ФИО пользователя + e-mail, телефон (в случае с Юр. Лс это БИК, ИНН и тд) - здесь уже нужно читать закон о защите персональных данных, какие конкретно данные таковыми являются. Прямая дорога Вам к юристу...

По поводу магазина и его версий, очень осторожно нужно относится к сторонним модулям и их использования, и так же осторожно работать с фрилансерами, ну и следить за новостями на предмет взлома движка магазина, что бы вовремя отреагировать...

Если погуглить то найдёте ряд статей по взлому opencart v1.4.x через сторонние модули, что то типа этого http://www.xakep.ru/post/52867/default.asp

[costas]

Этот вопрос я уже поставил вчера в теме robot.txt

"Отправлено Вчера, 15:55

Всем Привет! Жара! Припекает! Теперь еще и Яндекс и Гуугл на пару с солнцем!

Не стал создавать отдельную тему по поводу появления в открытом доступе по поисковым запросам в Яндексе и Гуугле личных данных, секретных документов с грифом "секретно" и т.д.

Все (по объяснению специалистов поисковиков) упирается в файл robot.txt !!

Под угрозой репутация интернет магазинов, отвечающих за личные данные своих пользователей.

Вот вопрос: как правильно и исчерпывающе закрыть доступ к этим данным? Какие файлы и какие страницы закрыть от поисковиков? Как правильно закрыть от индексации? "

Директория system в корне - можно закрыть полностью, во всяком случае обращения к ней через http я не увидел в логах, ну и по логике не должно быть..

Директорию admin ограничить по IP желательно...

Ну и более детально рассмотреть всё, что можно загружать через пользователя, наличие фильтров по расширениям, проверка атрибутов и тд...

[eGeo]

Ну как бы очивидно же, свои данные пользователь передал Вам, за сохранность данных отвечаете Вы, магазин (СУБД и всё что прилагается) в данном случаее, это всего лишь место, где Вы храните данные которые доверил Вам пользователь, в случаее утечки данных, ответственность понесёте непосредственно Вы как владелец магазина (хотя если будет присутвовать взлом сервера хостера, возможно вину можно будет переложить на него, что ещё нужно доказать, ИХМО иск против Вас всё равно будет обоснован). Вопрос какие данные Вы храните?! Пароли и ФИО пользователя + e-mail, телефон (в случае с Юр. Лс это БИК, ИНН и тд) - здесь уже нужно читать закон о защите персональных данных, какие конкретно данные таковыми являются. Прямая дорога Вам к юристу...

По поводу магазина и его версий, очень осторожно нужно относится к сторонним модулям и их использования, и так же осторожно работать с фрилансерами, ну и следить за новостями на предмет взлома движка магазина, что бы вовремя отреагировать...

Если погуглить то найдёте ряд статей по взлому opencart v1.4.x через сторонние модули, что то типа этого http://www.xakep.ru/post/52867/default.asp

Речь шла об простом поисковом запросе в Яндексе: "Набрав в строке поиска кодовый запрос "inurl:0 inurl:b inurl:1 inurl:c статус заказа", можно узнать имена покупателей, IP-адреса, а также адреса доставки. Эксперты полагают, что в очередной утечке виноваты веб-мастера интернет-магазинов". А не взломе интернет-магазинов. И тем более речь не шла именно только об opencart!

Хотя, спасибо за информацию о взломах opencart!

[OCuser]

Речь шла об простом поисковом запросе в Яндексе: "Набрав в строке поиска кодовый запрос "inurl:0 inurl:b inurl:1 inurl:c статус заказа", можно узнать имена покупателей, IP-адреса, а также адреса доставки. Эксперты полагают, что в очередной утечке виноваты веб-мастера интернет-магазинов". А не взломе интернет-магазинов. И тем более речь не шла именно только об opencart!

Хотя, спасибо за информацию о взломах opencart!

Да не только про яндекс... Базу тоже наверное можно взломать как-нибудь....

[costas]

Речь шла об простом поисковом запросе в Яндексе: "Набрав в строке поиска кодовый запрос "inurl:0 inurl:b inurl:1 inurl:c статус заказа", можно узнать имена покупателей, IP-адреса, а также адреса доставки. Эксперты полагают, что в очередной утечке виноваты веб-мастера интернет-магазинов". А не взломе интернет-магазинов. И тем более речь не шла именно только об opencart!

Хотя, спасибо за информацию о взломах opencart!

Виноваты - да, отвечать - врят ли, если иное не прописанно в соглашении или контракте... Что характерно для Open Source, ответственность за использование возлагается на Вас, разработчики с себя снимают такую ответственность (если иное опять же не задокументированно)...

[costas]

По поводу тындекса, директории с данными в данном случаее (например те же картинки в opencart) имеют прямой доступ, то же самое можно было сказать и о пользовательских документах, которые можно было получить путём запроса через тындекс, в качестве защиты таких данных нужно хранить их в другом месте (закрытые директории, СУБД и тд) и создавать отдельную модель доступа к данным проверяющую привелегии, данная модель пердпологает проверку доступа, а так же выдачу этих данных прошедшим проверку, иных средств достать или получить даные в обход этой модели не должно быть (исключая взлом самого магазина или сервера)...