O e-płatnościach i SSL

O systemach e-płatności i szyfrowaniu SSL piszą eksperci Entera Studio WWW

Postaramy się dziś wyjaśnić Wasze wątpliwości dotyczące płatności w nieszyfrowanych i szyfrowanych połączeniach SSL w serwisach e-commerce. Kiedy zatem będzie potrzebny certyfikat SSL, a kiedy nie?

Najpierw wyjaśnijmy czym jest SSL – to protokół szyfrowanego połączenia internetowego, w przeglądarce zaznaczający się ikoną kłódki przy adresie www, który wówczas rozpoczyna się od przedrostka https://, zamiast http://. Certyfikaty są różne – od kosztujących ok. 100 zł rocznie do nawet kilkudziesięciu tysięcy złotych rocznie. Cena ta zależy w mniejszym stopniu od siły szyfrowania połączenia, w większym od gwarantowanej przez dostawcę certyfikatu sumy ubezpieczenia na wypadek złamania certyfikatu – im silniejsze szyfrowanie i wyższa suma odszkodowań tym droższy certyfikat. Największy problem dla przyszłego właściciela strony www powstaje zazwyczaj wówczas, gdy, po wyborze systemu płatności, zastanawia się nad konkretnym rodzajem usługi oferowanej przez wybranego dostawcę – jedne wymagają połączeń SSL, inne nie i to często nawet w obrębie jednego procesora płatności. I co tu wybrać?

Najprościej mówiąc – to zależy w jaki sposób ma być obsługiwana transakcja i co ma widzieć w tym czasie internauta. Jeśli internauta ma nie opuszczać strony www, z której zainicjował płatność (np. sklepu internetowego), większość systemów płatności wymaga szyfrowanego połączenia SSL, bowiem cała transakcja odbywa się w obrębie strony, na której realizowany jest zakup, a do systemu płatności przekazywane są jedynie wyniki operacji – stąd potrzeba komunikacji między systemami w szyfrowanym, bezpiecznym połączeniu SSL. Jeśli dopuszczamy sytuację, że internauta po zainicjowaniu płatności zostanie przeniesiony do serwisu systemu płatności, protokół SSL nie jest potrzebny, bowiem w macierzystej stronie nie są przetwarzane i przechowywane dane finansowe. Strona jedynie wywołuje system płatności, jednak całość transakcji jest prowadzona i przetwarzana w połączeniu SSL już bezpośrednio na stronie systemu płatności, a do strony www, z której zainicjowano płatność przekazywana jest jedynie informacja zwrotna: zapłacono/niezapłacono. Z której opcji warto zatem korzystać? Niewątpliwie tańszą i mniej kłopotliwą dla właściciela strony www jest opcja druga – nie trzeba bowiem ponosić kosztów certyfikatu SSL i pełnej integracji systemu płatności ze stroną. Wystarczy prosty formularz wywołujący system płatności. Pierwsza opcja jest za to zdecydowanie bardziej korzystna ze względów wizerunkowych – internauta/klient nie opuszcza strony, na której zamawia produkty lub usługi i nie jest przenoszony do strony zewnętrznej firmy (dostawcy płatności), a całość transakcji realizuje i widzi na swoim koncie w naszym serwisie.

Poznaj Magento

Entera Studio WWW na konferencji Meet Magento

Magento to rozbudowana platforma sklepu internetowego rozwijana na zasadach open source. W USA i krajach zachodniej Europy platforma ta bije wręcz rekordy popularności. Również w Polsce oprogramowanie zdobywa coraz większą popularność. Nic dziwnego – Magento, w rękach sprawnego wdrożeniowca, pozwala na zbudowanie wręcz dowolnego sklepu internetowego, a co jeszcze ważniejsze pozwala na w miarę łatwą jego integrację z usługami internetowymi i rozmaitymi systemami sprzedażowymi, czy księgowymi używanymi przez firmy. Dzięki elastycznej strukturze ten silnik e-commerce umożliwia budowanie wysoko zindywidualizowanych platform sprzedażowych dostosowanych do potrzeb danego przedsiębiorstwa.

Pytanie zatem, skoro Magento jest tak przydatne, dlaczego nadal często kojarzy się głównie z sieciowymi multisklepami korporacyjnymi, a nie jako platforma dla „zwykłego użytkownika”. Odpowiedzi doszukiwalibyśmy się w stosunkowo wysokich wymaganiach tej aplikacji dotyczących środowiska serwerowego – zdecydowanie odradzamy Magento jako program do używania na najtańszym hostingu. Na szczęście dla Magento, wraz z oferowaniem coraz lepszych parametrów przez popularne hostingi oraz spadkiem cen usług VPS i serwerów dedykowanych, na oprogramowanie to może sobie pozwolić coraz większa liczba małych i średnich firm planujących ekspansję w Internecie. Zwłaszcza, że jak w przypadku każdego oprogramowania open source, redukcja kosztów zbudowania systemu e-commerce jest znaczna – nie trzeba płacić za oprogramowanie, a koszty ograniczają się do wyboru modelu e-commerce, opracowania szaty graficznej, wdrożenia i szkolenia.

W dniach 4-5 listopada 2013 roku, po raz drugi w Polsce, odbędzie się międzynarodowa konferencja z cyklu Meet Magento. Podobnie, jak w ubiegłym roku, będziemy bacznie śledzić prelekcje i dalsze plany rozwoju tej interesującej platformy e-commerce, którą wykorzystujemy w naszych projektach na co dzień.

,

Social media commerce

Portal social media commerce - proometeusz.pl

Czy kolejny portal społecznościowy ma sens? W świecie webmasterów mawia się, że jeszcze tylko naiwni wierzą w siłę social media. W ich siłę, jako narzędzia darmowego marketingu szeptanego raczej nie należy już wierzyć – wraz z monetyzacją największych serwisów tego typu, zalaniem użytkowników reklamami i kampaniami „szeptanymi” polegającymi na polecaniu usług i produktów przez znajomych, którzy nigdy nawet o danym produkcie, czy usłudze nie słyszeli (mowa naturalnie o ostatnich praktykach Facebooka) ich magia, jako narzędzia rzetelnego marketingu szeptanego uleciała bezpowrotnie. Stały się po prostu kolejnym narzędziem komunikacji i rozrywki.

Coraz bardziej wzrasta jednak znaczenie niszowych portali www z elementami social media lecz w istocie będących witrynami oferującymi wartościowe porady, usługi e-commerce itp., zwanymi social media commerce. W ten nurt wpisuje się niedawno oddany przez nas do użytku portal Proometeusz – serwis o tematyce prawno-biznesowej, kierowany do specjalistów w zakresie prawa i finansów, użytkownikom oferujący przede wszystkim usługi płatne – zwłaszcza poradnictwo i rozwiązywanie problemów prawnych. Rozbudowana część social media o funkcjonalnościach przewyższających Facebooka i YouTuba razem wziętych jest tu tylko… dodatkiem mającym uprzyjemnić korzystanie z portalu: można zawrzeć znajomość, przesyłać sobie wiadomości, prowadzić swój profil, lubić, komentować, prowadzić swoją stronę, pisać bloga, dyskutować na forum, czy komunikować się za pomocą komunikatorów. To jednak tylko swoiste uzupełnienie, dodatek do usług płatnych: możliwości prowadzenia własnego e-Biura, zawierania poprzez portal umów certyfikowanych elektronicznie, wystawiania ogłoszeń, publikowania ofert pracy i korzystania z narzędzi budowania kariery, organizowania wideo-konferencji itp. narzędzi stricte biznesowych. Stosunek funkcji rozrywkowo-społecznościowych do użytecznych narzędzi biznesowych i e-commerce w przypadku portalu Proometeusz wynosi 1 do 6, co jest wartością charakterystyczną dla portali social media commerce. Sam portal jest wciąż w wersji beta i… długo w niej pozostanie, gdyż podstawowym założeniem takich projektów jest ciągły rozwój poprzez oferowanie użytkownikom kolejnych, innowacyjnych usług. Część commerce będzie zatem nieustannie rozwijana. Część social media rozwijana będzie raczej w stopniu niewielkim, gdyż już obecnie oferuje praktycznie wszystko, co można w tej dziedzinie wymyślić.

,

WCAG 2.0, czyli prostota nie jest prosta

Strona www zgodna z wytyczną WCAG 2.0

Postaramy się dziś odpowiedzieć na pozornie proste pytanie, które często słyszymy od inwestorów – dlaczego koszt wykonania strony www zgodnej z WCAG 2.0 jest przeciętnie trzykrotnie wyższy, niż koszt wykonania zwykłej strony? Za przykład posłużą nam jedne z naszych ostatnich stron www zgodnych ze specyfikacją WCAG 2.0 do poziomu AA+: Asystent Warszawa i Ośrodek Nowolipie. Obie zostały zaprojektowane dla Miasta Stołecznego Warszawa i służą do obsługi instytucji i programów przeznaczonych dla osób niepełnosprawnych.

Internauci przyzwyczajeni do współczesnych stron internetowych pełnych multimediów, animacji i atrakcyjnych wizualnie technik, po odwiedzeniu strony zgodnej z WCAG 2.0 często w pierwszym odruchu stwierdzają, że taka strona jest nieefektowna. Z punktu widzenia przeciętnego użytkownika rzeczywiście można tak pomyśleć, jednak wystarczy przypomnieć sobie, że percepcja osób niepełnosprawnych w wielu kwestiach znacznie różni się od odbioru świata przez ludzi pełnosprawnych. Strony WCAG 2.0 wizualnie mogą być co najwyżej estetyczne i nie jest to wynik nieudolności projektanta, a wynik pełnej implementacji szczegółowych zasad dostępności stron www opisanych na ponad tysiącu stron instrukcji WCAG 2.0. Dostępność w tej specyfikacji jest tymczasem rozumiana jako dostępność dla osób z wszystkimi możliwymi rodzajami niepełnosprawności – narządów ruchu, zmysłów i postrzegania.

Wracając do wspomnianych stron www Ośrodek Nowolipie oraz Asystent Warszawa. Zajrzyjcie – zobaczycie na pierwszy rzut oka proste, nieskomplikowane witryny. Czy aby tak jest naprawdę? No cóż, jak mawia Jonathan Ive, główny projektant Apple – Prostota nie jest prosta. Każda z tych witryn składa się z przynajmniej czterech pełnych stron www – wersji podstawowej, wersji o podwyższonym kontraście, wersji o podwyższonym poziomie rozumienia i wersji dla czytników ekranowych. Do tego ma wbudowane warstwy o stałej szerokości, elastyczne i mobilne dla każdego z wariantów, tak, aby były dostępne dla jak najszerszej grupy odbiorców.

W pracach nad stroną obsługującą WCAG 2.0 udział bierze zespół trzykrotnie większy, niż nad zwykłą, nawet najbardziej efektowną, stroną www. Do konsultacji zapraszani są również użytkownicy niepełnosprawni, gdyż to głównie dla nich takie strony są projektowane. W tle pracuje także kilkanaście technologii, których po prostu nie widać, bo nie mają służyć użytkownikom widzącym. Np. gdy stronę ogląda przeciętny internauta, witryna otwiera się jak każda inna strona www. Gdy jednak odwiedzi ją osoba niewidoma korzystająca z czytnika ekranowego, strona się przedstawi, poinformuje gdzie użytkownik się znalazł i poda krótką instrukcje obsługi – informacje te czytnik musi odczytać poprawnie głosem lektora – użytkownik przecież strony www, jako takiej, nie widzi.
Siłą rzeczy taka struktura projektu oznacza większy nakład pracy i większy zespół do wynagrodzenia, a to ma swój wyraz w kosztach, choć – możecie nam wierzyć lub nie – strony www WCAG 2.0. robimy po kosztach, bo też tam, gdzie koszty są największe, pieniędzy zazwyczaj jest najmniej. Komisja EU, Parlament i ministerstwa nakazały dostosowanie stron www do wymagań WCAG 2.0, jednak, jak to zwykle bywa „zapomnieli”, czy też raczej nikt tego po prostu nie sprawdził, że takie dostosowanie oznacza spore koszty. Kwestię kosztów zostawiono zatem tym, których nowe prawo dotyczy najbardziej – głównie instytucjom sprawującym opiekę nad osobami niepełnosprawnymi, a w ich budżecie strony www to ostatnia pozycja, bo na co dzień środków nie wystarcza na pilniejsze potrzeby, związane choćby z rehabilitacją.

Najpierw cookies, teraz GIODO

Obowiązek zgłaszania zbioru danych na stronie www do GIODO

Często ostatnio pytacie o konieczność zgłaszania do Generalnego Inspektora Ochrony Danych Osobowych stron internetowych, na których są przetwarzane dane osobowe. Od razu odpowiadamy -obowiązek taki rzeczywiście istnieje. Dotyczy to zwłaszcza wszelkich sklepów internetowych i systemów e-commerce, choć nie tylko. Do GIODO najbezpieczniej jest zgłosić każdy system informatyczny przetwarzający i przechowujący dane osobowe, zatem również strony nie oferujące np. bezpośredniej płatności, ale ogólnie przechowujące zbiór danych – np. systemy e-learningowe. Jako zbiór danych osobowych podlegających rejestracji kwalifikują się systemy przetwarzające i przechowujące dane takie, jak:
– imię i nazwisko,
– wizerunek (zdjęcie),
– adres zamieszkania,
– dane ewidencyjne (np. PESEL i NIP),
– informacje, które w połączeniu z innymi danymi pozwalają na identyfikację konkretnej osoby (np. adres e-mail, czy numer IP urządzenia podłączonego do Internetu).

Pytania o odpowiedzialność wobec GIODO pojawiły się wraz ze wzrostem aktywności firm rozsyłających do nieświadomych takiego obowiązku właścicieli stron internetowych propozycje dopełnienia za nich formalności, oczywiście za drobną opłatą, i straszących wygórowanymi konsekwencjami w przypadku niedopełnienia formalności. Sytuacja jest analogiczna, jak w przypadku głośnej dyrektywy unijnej, żartobliwie nazywanej Cookie Monster (Ciasteczkowy Potwór – od postaci z serialu dla najmłodszych Ulica Sezamkowa), nakazującej umieszczanie na stronach www informacji o przetwarzaniu plików cookie. Owszem obowiązek zgłoszenia strony www zbierającej i przetwarzającej dane osobowe istnieje (czyli wg nomenklatury przyjętej w ustawodawstwie – zbioru danych osobowych) , niemniej jednak każdy może w łatwy sposób wywiązać się z niego we własnym zakresie. Wystarczy wypełnić formularz wniosku (nie jest wymagany podpis elektroniczny) dostępny na stronie e-GIODO: https://egiodo.giodo.gov.pl/index.dhtml i… to wszystko. Samo złożenie wniosku jest już równoznaczne z dopełnieniem obowiązku – nawet jeśli dane przetwarzane na stronie www nie kwalifikują się jako zbiór danych podlegających rejestracji lub wniosek będzie niekompletny, obowiązek wynikający z ustawy zostanie dotrzymany, co zwalnia z ewentualnej odpowiedzialności. Dlatego warto taki wniosek złożyć nawet na wyrost. Według przepisów bowiem to do administratora danych należy kwestia identyfikacji posiadanego zbioru danych osobowych, jako podlegającego, bądź nie, rejestracji. Jeżeli zbiór nie podlega ustawowemu obowiązkowi, GIODO odmówi rejestracji i przekaże taką informację zainteresowanemu. Konsekwencje niedopełnienia obowiązku rejestracji zbioru danych w GIODO są tymczasem dość restrykcyjne – jest to czyn zabroniony, zagrożony karą grzywny, ograniczenia wolności lub nawet pozbawienia wolności do jednego roku. Sankcje te nie grożą jednak za zgłoszenie niekompletnego zbioru danych osobowych. Liczy się zatem sam fakt dopełnienia obowiązku.

,

Płatne mapki Google na stronie www?

Nowe zasady korzystania z Google Maps

No i mamy kolejne zamieszanie związane z popularnymi usługami internetowymi. Rozeszła się po sieci niedawno wieść, że za korzystanie z map Google będzie trzeba płacić. I to słono. Rzeczywiście, niedawna zmiana polityki popularnych map Google faktycznie wprowadza opłaty za tę usługę. Wiadomości o gigantycznym „haraczu”, który trzeba będzie płacić sieciowemu koncernowi za posiadanie na stronie www mapki z dojazdem do firmy są jednak mocno przesadzone. Jeśli mapka na stronie www nie notuje więcej wywołań, niż 25 tysięcy na dobę (co przekłada się na 99 proc. stron www) korzystanie z niej nadal będzie bezpłatne. Pytanie jednak na jak długo?

Google coraz bardziej rozprawia się z mitem „bezpłatnych usług sieciowych”. Właśnie zmieniono API popularnych Google Maps – do 25 tysięcy odwołań na dobę z jednej domeny usługa nadal pozostaje bezpłatna, jednak jeśli serwis www jest na tyle popularny, aby tę liczbę przekroczyć… No dobrze – nie będziemy Was zmuszać do przekopywania się przez nader bogatą bibliotekę dokumentów z politykami i zasadami korzystania z usług Google. Opłaty wynoszą 4 dolary za każdy tysiąc załadowań map powyżej 25 tysięcy na dobę, istnieje też opcja zakupu licencji nielimitowanej za jedyne 10 tysięcy dolarów miesięcznie. Co to oznacza dla właścicieli większości stron www? Właściwie nic. Niewiele jest serwisów przekraczających pułap 25 tysięcy odwołań do mapy na dobę. Opłaty będą głównie ponosić zatem bardzo popularne strony www w całości oparte o Google Maps. Skomercjalizowania tej usługi ze strony Google należało się ponadto wcześniej, czy później spodziewać – na utrzymanie, aktualizowanie, rozwijanie i oferowanie map koncern wydaje miliony dolarów miesięcznie. Pytanie tylko jak długo nowa polityka map będzie obowiązywała? To zapewne zależy od poziomu wpływów generowanych po zmianach. Naszym zdaniem – w perspektywie wieloletniej – należy się spodziewać stopniowego obniżania progów odpłatności za odwołania do map, aż do poziomu, gdy niewielkie opłaty (stawialibyśmy na tzw. mikropłatności) będą pobierane od każdej strony www korzystającej z tej usługi.

,

10. urodziny WordPressa

Oficjalna grafika z okazji 10. urodzin Wordpressa

WordPress świętuje 10. urodziny. Dokładnie 27 maja 2003 roku Matt Mullenweg i Mike’a Little udostępnili pierwszą wersję swojej platformy blogowej. Sami twórcy nie spodziewali się, że niepozorny system do pisania blogów, z czasem rozwinie się w potężne narzędzie, bardziej przypominające zaawansowany CMS do budowy stron www, jak skromne narzędzie blogera.

Dziś WordPress to jedna z najpopularniejszych i najpotężniejszych platform CMS open source, do której – żartobliwie mówiąc – są już chyba nawet wtyczki parzące kawę i robiące naleśniki (wtyczki z przepisami są!). Źródła sukcesu WordPressa upatrujemy w niezwykłej łatwości i intuicyjności obsługi tej platformy, a także dbaniu zespołu tysięcy programistów z całego świata zaangażowanych w projekt (w czym, nie chwaląc się, mamy swój skromny udział) o w miarę sensowny poziom wstecznej kompatybilności. WordPress nie jest bez wad – mamy do niego np. pretensje o dziury w zabezpieczeniach – niemniej jednak drobne wpadki w rękach sprawnego programisty daje się szybko wyeliminować, a zalety WordPressa zdecydowanie przewyższają jego wady. Cóż, za miarę sukcesu niech posłużą dane statystyczne: obecnie na WordPressie oparte jest ok. 17 proc. wszystkich stron www (dane dla całego globu), użytkownicy WordPressa w ciągu każdej minuty piszą ok. 350 artykułów na swoich stronach, platforma została w pełni przetłumaczona na 76 języków, a najnowszą wersję WordPressa pobrano z serwerów projektu 21 milionów razy.

Biznesplan, a wideo biznes na stronie www

Czat wideo na stronie www

Dziś klika słów z zakresu analizy opłacalności i planowania strategii rozwoju serwisu www. Do popełnienia tego wpisu „natchnęła” nas wzrastająca popularność stron www oferujących komunikację pomiędzy użytkownikami za pomocą strumieniowania audio-wideo (popularnie mówiąc – czat z wideo kamerkami).

Jak głosiła niegdyś kontrowersyjna kampania reklamowa jednego z operatorów komórkowych „my nie umiemy opowiadać bajek” – same koszty wykonania systemu pozwalającego na komunikację audio-wideo na żywo są porównywalne do innych rozbudowanych rozwiązań programowych – to po prostu oprogramowanie, jak każde inne. Planując taką stronę www trzeba się jednak liczyć ze znacznymi nakładami na jej późniejsze utrzymanie i rozwój. Co tu dużo owijać w bawełnę? – nie wróżymy przyszłości stronie www z komunikacją audio-wideo, której opracowania nie poprzedza przygotowanie przemyślanego i realnego biznesplanu. Jakkolwiek kolokwialnie by to nie brzmiało – czat z kamerkami na popularnym hostingu „nie pójdzie”. Potrzeba minimum serwerów VPS, jeszcze lepiej serwerów dedykowanych (od razu warto sprawdzać możliwość negocjacji rabatów u dostawcy w miarę rozwoju serwisu – przy przemyślanej promocji strony www, raczej szybciej, niż później będą potrzebne kolejne serwery do obsługi szybko wzrastającego ruchu). Niezbędna będzie także odpowiednia przepustowość łącz internetowych komunikujących serwery z siecią, które „nie zapchają się” ilością danych. Alternatywnie, można również korzystać z usług specjalizowanych hostingów oferujących pakiety połączeń audio-wideo za zryczałtowaną, miesięczną opłatę (zazwyczaj rozwiązanie takie wychodzi drożej od serwerów dedykowanych, jednak zapewnia większą wygodę – o konserwację serwerów i parametry strumieni audio-wideo dba dostawca usługi).

Którą opcję wybrać? Odpowiedzi na to pytanie zazwyczaj pozwala udzielić opracowanie dokładnego briefingu strony www, jej strategii promocji i rozwoju. Małej firmie szkoleniowej, od czasu do czasu organizującej webinaria z wideokonferencją dla kilku użytkowników wystarczy niedrogi serwer VPS. Przyjmijmy jednak, że planujemy duży, dobrze prosperujący serwis opierający się głównie o komunikację audio-wideo pomiędzy użytkownikami, dla którego w strategii rozwoju zakładamy, że po kilku miesiącach istnienia będzie miał nieustannie, przez całą dobę, przeciętnie ok. 100-200 osób nadających i nawet kilkanaście tysięcy oglądających. Serwis ma ponadto oferować docelowo jakość transmisji HD. Zaczynamy od uzbrojenia się w wiedzę, przesyłu jakiej ilości danych wymaga transmisja audio-wideo w różnych trybach (tabele, włącznie z uwzględnianiem kompresji, są ogólnie dostępne w sieci). Mnożymy wyniki dla planowanej, określonej jakości transmisji na jednego użytkownika przez ilość planowanych użytkowników na stronie korzystających z funkcji audio-wideo jednocześnie – mając takie dane łatwo zaplanować jakie będą potrzebne nam przepustowości łącz internetowych oraz jakiej wydajności serwerów będziemy potrzebować do obsługi strony na danym etapie jej rozwoju, a to pozwala w miarę precyzyjnie oszacować i zaplanować koszty włącznie z perspektywą średnioterminową.

A co jeśli nasza strona www odniesie sukces? Znamy kilka przypadków naprawdę dużych, silnie obciążonych serwisów www opartych o komunikację audio-wideo, gdzie analiza wykazała, że najkorzystniejszą opcją będzie wybudowanie i utrzymywanie własnej serwerowni, gdyż pomimo początkowych, dużych kosztów inwestycji i kosztów pracy personelu serwerowni, nakłady zwracają się w rozliczeniu wieloletnim stosunkowo szybko i w sumie są niższe od wynajmowania serwerowni lub hostingów wideo – i takich wyników analizy już po kilku miesiącach działania strony www życzymy każdemu posiadaczowi serwisu typu „czat z wideokamerkami”.

Podstawowe zasady zabezpieczania stron www

Podstawowe zasady zabezpieczania stron www

Niedawne, nagłośnione w mediach, dwukrotne wyłączenie na kilka godzin serwisu aukcyjnego Allegro sprawiło, że zadajecie nam dużo pytań odnośnie zabezpieczenia stron www przed rozmaitymi atakami z sieci. Zabezpieczenia systemów teleinformatycznych przed niepożądaną ingerencją to temat na tyle szeroki, że powstają o nim dziesiątki prac naukowych, niemniej jednak postaramy się w – bardzo uproszczonych – zarysach przedstawić istotę problemu. W skrócie – naiwnością jest sądzić, że sprawa wyłączenia Allegro to jakiś jednostkowy, nadzwyczajny przypadek. Po prostu hakerom udało się tym razem zablokować ten serwis dość prymitywną metodą zmasowanego ataku DDOS, a że platforma jest popularna, media nagłośniły temat, popełniając przy okazji – jak to media – całą gamę błędów merytorycznych. Z Facebooka, czy Allegro korzystamy wszyscy, jednak mało kto zdaje sobie sprawę z milionów inwestowanych przez duże spółki IT w zabezpieczenia i z nieustannej walki z nieproszonymi gośćmi odbywającej się na zapleczu takich serwisów. Z dozą prawdopodobieństwa graniczącą z pewnością możemy stwierdzić, że do ataków na każdy duży serwis, taki jak Allegro, dochodzi… kilka razy dziennie.

Biorąc pod uwagę ten dość pesymistyczny wstęp, a także fakt, że przed atakami hakerów nie uchronili się nawet tacy giganci jak Googgle, Facebook, Twitter, czy Apple, można sobie zadać pytanie, czy w ogóle warto mieć stronę www? Równie dobrze można by zapytać, czy warto mieć dom? Warto, jednak każdy chroni swój dom przed włamywaczami. W gruncie rzeczy zasady ochrony strony www przed hakerami są zbliżone. Dom chronią przynajmniej dwa zamki w drzwiach, alarm i odpowiednie zachowanie domowników (nie zostawiamy na oścież otwartych drzwi, bo wszystkie zabezpieczenia zdadzą się na nic). Podobnie jest ze stroną internetową – nie zostawiamy na oścież otwartych drzwi. Czy warto jednak popadać w paranoję? Wprawdzie dom można tak zabezpieczyć, że nawet właściciel będzie miał problem z wejściem do niego, stronę internetową również, jednak to mija się raczej z celem i wygodą użytkowania. Jak w każdej innej dziedzinie życia – nic nie zastąpi zdrowego rozsądku. Odwieczna zasada informatyki mówi, że co da się zabezpieczyć, da się i odbezpieczyć. Jest to tylko kwestia czasu i środków poświęconych na złamanie zabezpieczeń.
Wbrew pozorom problem nie dotyczy domorosłych, zazwyczaj niepełnoletnich, „hakerów” obchodzących „dla chwały i sportu” podstawowe zabezpieczenia tysięcy firmowych i prywatnych stron www opartych o popularne rozwiązania CMS, czy spambotach rozsyłających masowo maile lub zostawiających niechciane wpisy w komentarzach – ich działalność każdy może łatwo wykryć i się przed nią zabezpieczyć (nie potrzeba do tego specjalistycznej wiedzy, wystarczy tzw. zdrowy rozsądek administratora, czy właściciela strony i chwila lektury w Internecie) – a w rozwijającej się w błyskawicznym tempie cyberprzestępczości. O ile wizytówkowa strona www małej firmy zupełnie nie leży w kręgu zainteresowań cyberprzestępców, o tyle duży sklep internetowy, portal aukcyjny, czy każda inna strona przetwarzająca dane osobowe i finansowe musi się liczyć z tym, że wcześniej, czy później stanie się obiektem ataku, gdyż przechowuje dane, które mogą zostać zamienione w gotówkę – dane osobowe użytkowników, numery ich kont i kart kredytowych. Jak myślicie ile może być warta pełna baza danych zweryfikowanych użytkowników Allegro, z historią ich transakcji, zainteresowań, korespondencji? Starczyłoby na wykupienie kilku firm takich, jak Entera i jeszcze zostałoby na prywatną, tropikalną wyspę.
Wracając do wspomnianych, domorosłych „hakerów” i spambotów – aby nie mieć z nimi większych kłopotów wystarczy monitorować swoją stronę www i dbać o minimalny poziom jej zabezpieczeń: ukrycie panelu administratora, niestandardowe przedrostki w bazie danych, silne, regularnie zmieniane hasła, niezapisywanie haseł w programach do FTP itp. Oprócz tych podstawowych działań, praktycznie każdy popularny CMS posiada też sporą gamę wtyczek chroniącą przed rozmaitymi, prostymi atakami – ich używanie jest zazwyczaj bezpłatne. Warto pamiętać, że wszelkie zabezpieczenia nie zastąpią najważniejszej czynności odpowiedzialnego administratora – regularnego wykonywania kopii bezpieczeństwa plików strony i bazy danych. Nawet jeśli strona www padnie wówczas ofiarą ataku, szkody będą minimalne – zawsze można przywrócić ją do stanu sprzed ataku, wprowadzając dodatkowe zabezpieczenia. I warto o tym pamiętać.

Ratunku, strona www mi nie działa

Jak w Entera Studio WWW reagujemy na zgłoszenia awarii

Strona www nie działa! – niezbyt często, jednak zdarza się, że w telefonie, czy e-mailu otrzymujemy taką alarmującą wiadomość. Na każdą stronę www składa się minimum kilkaset tysięcy linii kodu, a całość liczy od kilku, do nawet kilkuset tysięcy plików. Wszystko to pracuje w określonym środowisku serwerowym. Czasami wystarczy drobna zmiana w konfiguracji serwera wprowadzona przez dostawcę usługi hostingowej i, przy takim rozmiarze danych składających się na stronę www, błąd może pojawić się w sposób nieprzewidziany. Awaria zdarzyć się może, jednak najważniejsza w takich sytuacjach jest szybkość reakcji.

Problem nie dotyczy serwerów własnych, dedykowanych, czy VPS, gdzie właściciel strony www ma pełną kontrolę nad oprogramowaniem serwera, a stron hostowanych – zmiany w oprogramowaniu serwerów wprowadza Administrator dostawcy usługi hostingowej, a klienci nie mają wpływu na ich głębokość i rozległość. W informatyce tymczasem wszystkiego przewidzieć się nie da. Nie ma możliwości, aby Administrator dużego serwera hostingowego był w stanie przewidzieć wszystkie ewentualności i konflikty jakie mogą pojawić się z rozmaitymi skryptami zainstalowanymi na kontach użytkowników, zwłaszcza gdy tych kont są tysiące, a na nich tysiące stron www wykonanych w różnych technologiach. Gdyby chciano przeanalizować wszystkie możliwości, nie wprowadzono by ulepszeń nigdy, bowiem nieustannie trwałaby analiza, w czasie której pojawiałyby się nowe wersje oprogramowania, zatem trzeba by zaczynać analizę od nowa i tak w nieskończoność.

W grudniu i styczniu najwięksi w Polsce dostawcy hostingu wprowadzali szereg zmian na swoich serwerach związanych z udostępnieniem nowych usług. Zespół reakcji technicznej Entery trwał w związku z tym w stanie podwyższonej gotowości. Pół biedy bowiem, gdy „error” wystąpi w godzinach służbowych – możemy reagować natychmiast. Awarie powodowane przez hostingi mają jednak to do siebie, że najczęściej pojawiają się poza godzinami pracy większości właścicieli i odbiorców stron www – noc to idealny czas dla Adminów dużych serwerów, gdyż ruch jest niewielki, zatem chętnie go wykorzystują na wprowadzanie i testowanie zmian. Na takie okazje mamy w Enterze wewnętrzny system powiadamiania o zgłoszeniach awarii, który poza godzinami pracy rozsyła powiadomienia e-mail i smsy oraz dzwoni do naszych administratorów, tak, aby awarie były usuwane w możliwie jak najkrótszym czasie. Zdajemy sobie bowiem sprawę z faktu, że każda godzina niedostępności strony www, czy sklepu internetowego w sieci oznacza straty dla firmy będącej właścicielem strony – wizerunkowe lub w braku sprzedaży.