Партнерка на США и Канаду по недвижимости, выплаты в крипто
- 30% recurring commission
- Выплаты в USDT
- Вывод каждую неделю
- Комиссия до 5 лет за каждого referral
 |
Iekšējā audita nodaļa
Анализ эффективности нового WEB сайта Банка www. tkb. eu
 |
«1. скорость открытия сайта влияет на рейтинг в поисковой выдаче;
2. пользователь теряет контекст, если страница грузится более 1 сек;
3. пользователь уходит с сайта, если страница грузится более 10 сек;
4. пользователь теряет доверие к сайту, если ссылки не работают;
5. клиентская оптимизация особенно важна для мобильных клиентов.
«
Несколько тезисов конференции Google I/O 2014:
Сроки проверки: 15.04.2015. - 20.04.2015., 02.06.2015. – 10.06.2015.
Предыдущая проверка: 08.2014.
Цель проверки — оценить нормативное соответствие, функциональность, производительность и безопасность нового WEB-сайта Банка с технической точки зрения.
Задачи проверки:
- оценить выполнение юридических норм для web-сайта Банка;
- проверить web-сайт на ошибки функционирования интерфейса;
- оценить производительность и нагрузочную способность web-сайта;
- проверить безопасность и надёжность нового web-сайта Банка.
Далее по тексту замечания выделены цветом отражающим следующую шкалу рисков:
No (0) – риск отсутствует или устранён в ходе проверки.
Low (1) – возможные последствия незначительные.
Medium (2) – возможные последствия могут привести к потерям.
High (3)– возможные последствия могут привести к существенным потерям.
1. Юридические нормы на сайте.
1.1. Лицензирование сторонних сервисов.
Проведена проверка отсутствия нарушения лицензирования использованных на сайте сторонних сервисов. Для используемые сервисы API Google Maps и Google Fonts бесплатные лимиты не нарушены.
1.2. Авторские права на содержимое сайта.
WEB-сайт является авторским произведением размещённым в Интернете, но интеллектуальную собственность Банка требуется защищать, чтобы снизить риски от присвоения, шантажа или от недобросовестного исполнителя сайта. Отметка об авторских правах Банка на дизайн и содержание сайта (Copyrights) на сайте присутствует и соответсвует принятым в сети нормам, но есть замечания по авторским правам на медиа-содержимое сайта.
Замечание 1.2. В некоторых графических изображениях, встречается мета-информация (EXIF) которая не связанна с Банком (Author=не Банк, Copyright=не Банк). Возможно есть нарушение авторского права.
Первый пример, в изображении http://tkb. eu/assets/files/1_lapa/Attalinatie_pak_00.jpg, содержится следующая EXIF информация:
Судя по анализу, Theeradaj_S. это молодой человек, который увлекается фотографией и проживает в Азии (Тайланд?), возможно данная фотография была взята им с сайта компании из USA, см. http://www. /userfiles/files/slide1%283%29.jpg, таким образом, юридическая «чистота» происхождения изображения сомнительна.
Второй пример, фото http://tkb. eu/assets/files/1_lapa/Seesam_00.jpg сделано Анной Беркут — профессиональным фотографом из Парижа и размещено на продажу на сайте
1.2.1. Рекомендуется проверять мета-информацию в размещаемых на сайте графических, аудио и видео материалах для уменьшения рисков судебного иска по авторским правам, а также для защиты собственного Банковского медиа-контента выполнять следующее:
a) не допускать к размещению на сайте материалов с подозрением на нарушение авторских прав (первый пример);
b) очищать легитимные объекты от излишней мета-информации о третьих источниках не связанных с Банком, особенно о Copyright;
с) в медиа-объекты созданные Банком и/или по заказу Банка (например, в логотип, фото) встраивать мета-информацию о Copyright Банка.
1.2.2. Рекомендуется проверить наличие у разработчика сайта лицензионного договора с автором или несколькими авторами контента для защиты прав Банка на сайт, ещё лучше, если право будет передано Банку и Банк станет правообладателем контента (второй пример).
1.2.3. Рекомендуется для дополнительной зашиты авторских прав зарегистрировать название сайта (или домена) в качестве СМИ (получить Свидетельство о регистрации СМИ) и никто не будет иметь права использовать вашу информацию без ссылок на источник.
1.3. Приватность и конфиденциальность.
Оговорка приватности и ссылка на омбуд-сообщение на сайте присутствуют и соответствуют отраслевым нормам и требованиям: EU DPA 1998 (Data Protection Act) and EU PECR 2011 (Privacy and Electronic Communications Regulations) — регулирующие обработку персональной информации, использование cookies, отчёты о security breaches, и др.
Есть замечание по несоответствию требованиям по обработке (передаче) конфиденциальной информации.
Замечание 1.3. Передача персональных данных физ-лиц (конфиденциальной информации) в формах нового сайта Банка проводится через открытый протокол HTTP. Такие данные могут просматриваться и даже модифицироваться на пути передачи от браузера клиента на сервер Банка.
По оценке юридического отдела передаваемая в формах «Оплата банковских услуг» и «Подача претензий» информация является критичной и/или конфиденциальной и требует защищённой передачи.
1.3.1. Рекомендуется использовать закрытый HTTPS протокол либо для подобных форм, либо для всего сайта целиком (это проще).
1.4. Уникальность, плотность ключевых слов и водность контента сайта.
Данные параметры позволяют технически оценить качество контента сайтов, влияют на восприятие содержания как посетителями, так и поисковыми системами.
1.4.1. Проверка текстов на уникальность.
Проверка была проведена для нескольких страниц web-сайта Банка для каждого из трёх языков с использованием различных методов анализа (, , ).
Уровень совпадений с другими источниками низкий, есть совпадение новостной информации с сайтов bankasoc. lv и информации с собственных сайтов. Со стороны Банка плагиата нет, со стороны других интернет-ресурсов направомочного использования банковского контента также нет.
Замечаний нет, мы не нарушаем и у нас никто не ворует.
1.4.2. Проверка текстов на плотность ключевых слов и тошнотность.
Для успешного продвижения каждой странице требуется использовать достаточную плотность ключевых слов отражающих её содержание. Но, высокий уровень повторяемости ключевых слов может вызвать и отрицательный эффект - повысить «тошнотность» текста. По мнению аудита повторяемость ключевых слов в целом соответствует бинес-задачам сайта Банка, см. пример на рисунке ниже (крупные слова). Тошнотность страниц в норме, так как следует исключить слова (Узнать Больше), которые являются компонентами интерфейса.
Замечаний нет.
1.4.3. Проверка текстов на водность.
Водность текста – это процент содержания в нем ничего не значащих, не несущих полезной информации слов (стоп-слов). Максимально допустимым показателем водности можно считать 60%. Если на сайте размещен текст с очень высокой водностью, роботы поисковых систем признают страницу не релевантной запросам.
По оценке аудита водность на сайте около 20%, см. пример на рисунке выше (светло-серые слова).
Замечаний нет.
2. Функционирование интерфейса сайта.
2.1. Ошибки интерфейса и новая кнопка «Сообщить об ошибке».
WEB-сайт — это динамически меняющийся ресурс, поэтому на сайте всегда будут встречаться различные опечатки и ошибки, особенно в новом сайте. Но, если таких ошибок много, то сайт выглядит небрежно, а если ошибки касаются базисного интерфейса (ошибки с кодами 400-499), то они затрудняют работу с сайтом и снижают репутацию сайта в поисковых системах.
Замечание 2.1.1. К сожалению на новом сайте Банка присутствуют ошибки в базисном интерфейсе — недостатки перевода, неработающие кнопки и ссылки.
Пример 1. Многие сообщения и элементы интерфейса сайта не переведены с латышского на другие языки (всплывающие сообщения, элементы форм, сообщения об ошибках, навигационные элементы).
Пример 2. На сайте встречаются «мёртвые» сылки-кнопки, например, в Депозитном калькуляторе кнопка “Как стать клиентом” вызывает страницу ERROR 404.
2.1.1. Рекомендуется в короткий срок перевести компоненты базисного интерфейса сайт на все 3 языка, можно обратиться к сотрудникам Банка с просьбой присылать информацию о найденных опечатках и ошибках перевода администратору WEB-сайта.
2.1.2. Рекомендуется администратору сервера совместно с администратором сайта еженедельно проводить анализ логов сайта для поиска «мёртвых» ссылок вызывающих 404 ошибку и оперативно выполнять исправление найденных ошибок, для этого нужно получить доступ к такому журналу.
2.1.3. Рекомендуется, в будущем для более эффективной эксплуатации сайта, создать боковую слайдер-кнопку «Сообщить об ошибке» для быстрой отправки сообщения о замеченных недостатках текущей страницы администратору сайта. Данный слайдер можно при желании настроить невидимым для внешних пользователей, а видимым лишь в локальной сети Банка для сотрудников. При отправке сообщения не нужно описывать путь к странице на которой замечена ошибка, и замечания будут собираться в одном месте.
2.2. Функция «Поиск».
Замечание 2.2.1. Неудовлетворительно работает функция поиска по сайту – или выдаёт неоформленную страничку с предупреждением, или находит список пустых ссылок, или приводит к неверным ссылкам в результатах поиска.
Например,
поиск «ā» выводит страницу об ошибке без какой-либо функциональности;
поиск “ab” выдаёт много пустых пронумерованных результатов поиска;
поиск “valde” выдаёт результаты, часть из которых приводит к Error-404.
2.2.1. Рекомендуется оговорить ошибки функционирования модуля «Поиск» с разработчиком, следует признать функционирование модуля «Поиск» неудовлетворительным и провести исправление за счёт разработчика.
2.3. Функциональность страницы Error 404 - «Страница не найдена».
Чтобы попасть на Error-404 можно воспользоваться ссылкой http://tkb. eu/ru//valde.
Замечание 2.3.1. На 404-й странице сайта («Страница не найдена»), специально создаваемой для обработки ошибочных ссылок, не работает кнопка “Get back to homepage”. Просто не заполнен тег href на URL-ссылку: <a href="" style="background: #9C0E33;" class="btn">Get back to homepage</a>. Это особенно неприятно при попадании на отсутствующую страницу web-сайта Банка из поисковых систем, а также, 404-я страница не имеет переводов на LV и RU языки. А также, функциональность 404-й страницы очень слабая и не ориентирована на сохранение лояльности посетителей сайта.
2.3.1. Рекомендуется оперативно исправить тег href в EN версии страницы, а также, создать локализованные версии 404-й страницы на LV и RU языках сайта.
2.3.2. Рекомендуется в дальнейшем, для повышения лояльности посетителей, дополнить 404-ю страницу сайта дополнительной функциональностью — переходом на основные разделы сайта, например, так как сделано в ABLV.
2.4. Функция защиты от SPAM-роботов.
Так как на сайте Банка есть интерактивные формы, а обработку этих форм проводят сотрудники Банка (Infocenrs и приватбанкиры получают e-mail от сайта с запросом о клиента), то возникает необходимость противостоять различным системам (роботам) выполняющим автоматическую рассылку спама.
Наиболее часто для этих целей используется технология CAPTCHA – Completely Automated Public Turing test to tell Computers and Humans Apart — полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей.
Замечание 2.4.1. На сайте Банка используется простейшая текстовая CAPTCHA, которая не даёт достаточной защиты от роботов, так как кодовую строку можно легко скопировать. Спам-роботы легко преодолевают такую защиту и могут “завалить” инфоцентр Банка потоком спам-сообщений.
2.4.1. Рекомендуется в качестве CAPTCHA-защиты использовать более надёжный тест Тьюринга, например, тест построенный на распознавании образов (картинок, фомул, выборе цвета и т. д.).
2.5. Функциональность страницы «Депозитный калькулятор».
Замечание 2.5.1. При попытке вычислить депозит, после первого нажатия кнопки «ПОДСЧИТАТЬ» поле «Доходы по процентам» не обновляется и показывается 0 EUR, обновление происходит лишь при повторном нажатии на «ПОДСЧИТАТЬ». Кнопка «Как стать клиентом» не работает.
2.5.1. Рекомендуется переработать код «Депозитного калькулятора».
2.6. Фильтрация данных в экранных формах.
Замечание 2.6.1. Нет фильтрации (типов и диапазонов) вводимых в формы сайта данных – в итоге для некоторых данных, например, как для чисел показанных на картинке происходит:
или долгая работа скрипта,
или отказ браузера,
или даже ошибка сервера,
это может приводить и к атакам на web-приложение, см. выше п. 4.1.
Замечание 2.6.2. К тому же специальные (необычные) запросы могут приводить к излишней нагрузке на сервер Банка и могут снижать доступность сайта, а также, увеличивают «успешность» DOS атак; см. ниже результаты теста ручного нагрузочного тестирования в п.3.3., в результатах которого показано, что всего один «специфичный» запрос клиента к калькулятору кредитов израсходовал 5% CPU сервера.
2.6.1. Рекомендуется проводить проверку на вводимые данные в поля вычисляющих форм (такие как калькуляторы и переписка с Банком) и на стороне браузера и на стороне сервера.
2.6.2. Рекомендуется, для снижения нагрузки на сервер, по возможности перенести вычисление и генерацию кода результатов с серверной стороны (php/Apache) на клиентскую сторону (JS/браузер).
3. Производительность и нагрузочная способность сайта.
3.1. Стандарты, качество кода и доступность содержания страниц.
В соответствии с Best Practce любой WEB-сайт, а тем более внешний (имиджевый) сайт Банка должен проверяться на соответствие различным стандартам, как минимум:
- Стандарты W3C по HTML, SCC, XML;
- Руководство по обеспечению доступности веб-контента (WCAG 2.0);
- Нормативы Раздела 508 в отношении web-доступности (us section 508).
Замечание 3.1.1. Критических ошибок кода на сайте не обнаружено, но, есть несколько неработающих ссылок и несколько недостатков связанных с доступностью web-сайта по стандарту WCAG-2.2 (Web Content Accessibility Guidelines).
3.1.1. Рекомендуется сформировать и утвердить формализованный процесс проверки содержимого сайта на качество кода и ошибки (тест-лист). Проверку рекомендуется проводить для вновь созданных или изменённых страниц на всех web-сайтах Банка, а раз в пол-года проводить автоматическое сканирование всех сайтов целиком. Тест лист может включать следующие действия:
Ручная проверка содержания страниц и работы интерфейса:
- орфография, стиль, восприятие;
- корректность ссылок и их удобство;
- наличие описаний, всплывающих подсказок, ключевых слов;
- проверка соответствия отображения страницы в разных браузерах и HTML версиях, и др.
Автосканирование качества кода, рекомендуется использовать онлайн валидаторы:
- W3C MarkUp Validation Service - онлайн HTML и XHTML валидатор.
- W3C Link Checker - проверка работоспособности ссылок.
- Total Validator – проверка на HTML/XHTML/WCAG/Section 508/CSS/Links/Spelling.
Замечание 3.1.2. Open Graph – технология созданная Facebook и используемая для эффективного представления сайта как графического объекта в соц-сетях. Аудит отмечает «странную» настройку протокола OG — определено лишь одно свойство og:image без свойств og:title, og:url, og:type, og:description.
3.1.2. Рекомендуется дополнить страницы свойствами og:title, og:url, og:type и og:description.
Замечание 3.1.3. На страницах отсутствуют Meta Tags: title, description, keywords. И, если отсутствие keywords, соответствует тенденциям рынка, так-как практически не сказывается на улучшении SEO сайта, то отсутствие title и description не соответствует BestPractices и снижает индексы поиска.
3.1.3. Рекомендуется дополнить страницы метатегами title и description.
3.2. Производительность сайта Банка.
Производительность, или скорость загрузки сайта — это один из важнейших параметров восприятия удобства сайта для пользователя. Оценку производительности нужно проводить из регионов, откуда работают клиенты Банка с помощью различных онлайн сервисов, например, Google PageSpeed Insight, Tools Pingdom или WebPageTest.
A) Тестирование на WebPageTest.
Контекст тестирования. Пользователь находящийся в Moscow, Russia, использующий Firefox и соединение DSL (1,5 Mbps/384 Kbps, 50 ms RTT) дважды открывает стартовую страницу сайта. Ранее пользователь не посещал данный сайт и ресурсы сайта не закэшированы.
Краткий анализ результатов тестирования.
У www. tkb. lv показатели оптимизации FAAFFX по шкале от A (хорошо) до X (плохо), скорость загрузки для 1-го просмотра составляет 18 сек, а для последующих просмотров 2 сек. Это очень низкие показатели, например, у Rietumu-web показатели DFFAFFX, 6 секунды и 1.5 секунды соответственно.
Основные недостатки — неудовлетворительная отзывчивость сервера на запрос, отсутствие оптимизации изображений и отсутствие кэширования для статичного контента. Низкий показатель CDN (использование внешних серверов для контента) аудит считает вполне оправданным для банковского сайта.
B) Сравнение скорости загрузки сайтов Банка с конкурентами.
К сожалению, наш Банк проигрывает конкурентам по скорости загрузки сайта.
C) Тестирование на Tools Pingdom.
Другой инструмент http://tools. также позволяет оценить параметры производительности из различных точек мира, что удобно для оценки доступности сайта клиентам Банка из различных регионов мира.
Контекст тестирования: пользователь находящийся в USA, использующий Internet Explorer 9 и соединение со скоростью 5,1 Мбит/сек дважды открывает стартовую страницу предложенного сайта. Ранее пользователь не посещал данный сайт и ресурсы сайта не закешированы.
В итоговом результате от Tools Pingdom сообщается, что сайт tkb. eu более медленный, чем 77% всех проверенных этим инструментом сайтов:
Все рассмотренные инструмент помимо обобщающей оценки формируют подробный анализ и инструкции по исправлению найденных недостатков, а также подробные рекомендации по повышению производительности и латентности (отзывчивости) сайта можно получить используя различные Best Practices и Online-инструменты.
Замечание 3.2.1. Новый WEB-сайт Банка имеет недостаточную производительность и значительно проигрывает по скорости сайтам конкурирующих банков.
Замечание 3.2.2. В отделе IT Банка отсутствует утверждённый список показателей анализа и сравнения производительности сайтов Банка, нет утверждённого инструментария для автоматизации анализа параметров качества сайтов Банка и для сравнения этих показателей с показателями конкурентов.
3.2.1. Рекомендуется перативно выполнить несколько рекомендаций, которые позволят примерно в 2 раза улучшить производительность сайта:
a) оптимизировать размеры изображений - одна из картинок занимает 25% объёма страницы и грузится картинка 3,5 секунды, а вся страница из 63 элементов грузится 6.5 сек;
b) использовать кэширование для статичных ресурсов;
c) объединить 12 CSS файлов в меньшее количество;
d) объединить 11 JS файлов в меньшее количество;
e) объединить часть из 25 параллельных запросов используя технику спрайтов изображений.
f) провести оптимизацию отзывчивости сайта на первый байт, например, можно легко избежать обязательного редиректа с tkb. eu на tkb. eu/lv и сэкономить 0,4 сек.
3.2.2. Рекомендуется в дальнейшем сформировать некий набор KPI (показателей качества) производительности сайта, подобрать соответствующий комплект Online-инструментов и периодически проводить тестирование и исправление производительности сайта, а также, придерживаться правил Best Practices по оптимизации нового контента сайта.
3.3. Нагрузочная способность сайта.
A) Ручной нагрузочный тест.
Контекст тестирования: При нагрузке одним реальным пользователем на страницу «Калькулятора кредита», проводившемся вручную с 14:39 до 14:51 нагрузка на CPU поднялась с 10% до 20%. Увеличение нагрузки на CPU сервера измерялось на VmWare сервере и показано на рисунке ниже:
B) Автоматизированный нагрузочный тест.
Контекст тестирования: При роботизированном нагрузочном тестировании на «Стартовую страницу» сайта двумя сериями по 25 виртуальных пользователя с 14:57 до 15:08 нагрузка на CPU поднялась с10% до 50%. Тестирование производилось онлайн инструментом Load Impact, результаты доступны на (https://app. /load-test/1a8ff495-bfd3-4b50-8d5b-7b02dc205fee). Увеличение нагрузки на CPU сервера измерялось на VmWare сервере и показано на рисунке выше.
Замечание 3.3.1. Даже после оптимизации содержимого сайта и повышения его скорости загрузки ресурсоёмкость вычисляющей страницы «Кредитный калькулятор» изменится незначительно, так как нагрузка возникает от того, что вычисления проводятся на стороне сервера.
Замечание 3.3.2. Параметры производительности сервера Apache сконфигурированы недостаточно эффективно чтобы выдерживать “взрывную” нагрузку. По оценке аудита, после 150 активных подключений работа веб-сайта будет иметь неприемлемые задержки.
3.3.1. Рекомендуется перенести вычисляющий код и код формирования результата со стороны сервера на сторону браузера.
3.3.2. Рекомендуется, помимо оптимизации скорости и размеров страниц сайта, сконфигурировать параметры web-сервера Apache так, чтобы сервер выдерживал более высокую нагрузку (большее количество одновременных пользователей).
4. Безопасность сайта.
4.1. OWASP Top 10.
OWASP (Open Web Application Security Project) создал список из 10-и самых опасных векторов атак на Web-приложения, этот список получил название OWASP TOP-10 и в нем сосредоточены самые опасные уязвимости.
Ниже проведён краткий анализ нового WEB-сайта Банка на противостояние угрозам из OWASP-списка. Реальное penetration-тестирование (проверка на проникновение) требует значительных ресурсов, поэтому проведён умозрительный анализ угроз OWASP TOP-10. Цель анализа - логическим рассуждением вскрыть потенциальные угрозы и порекомендовать меры снижающие вероятность реализации угроз.
A) BA&SM - Broken Authentication and Session Management.
Недочеты системы аутентификации и хранения сессий, так как аутентификация клиентов не производится — BA&SM атака не актуальна.
B) IDOR - Insecure Direct Object References (Небезопасные прямые ссылки на объекты).
На сайте используются POST и PUT запросы. Прямой вызов URL-скриптов не обнаружен, небезопасные GET-запросы на сайте также не используются — это хорошо, так как IDOR-атака не актуальна.
C) Injections.
Так как в базе сайта не хранится потенциальных секретов о клиентах Банка, то атаки методами SQL-injections и OS-injections, приводящие к утечкам, не имеют высоких рисков, так как атака не интересна для атакующего.
Более существенны риски от атак SQL-injections и OS-injections, нарушающих целостность и доступность сайта — это удаление записей в базе и/или файлов на сайте.
4.1.1. Рекомендуется периодически проводить автоматизированную проверку сайта с использованием соответствующих OWASP атакующих профилей (например, используя Qualys).
4.1.2. Рекомендуется настроить автоматическую проверку на модификацию-удаление файлов сайта, например, с помощью inotify-tools, а также использовать расширенные атрибуты файловой системы Linux, таки как immunization, append-only (см. chattr).
D) XSS - Cross Site Scripting (Межсайтовый скриптинг).
Ещё более опасны техники атак построенные на технологиях DOM-injections (или HTML-injections), благодаря которым становится возможным проведение такого вида атак как XSS, а внедряемый код исполняется в браузере пользователя, а не на стороне сервера.
Сегодня, когда JavaScript предоставляет очень мощные возможности, атаки такого рода позволяют через зараженное WEB-приложение сфотографировать посетителя сайта, включить микрофон или определить его местоположение. На сайте не используется Flash — это хорошо, так как снижает вероятность такой атаки.
С помощью XSS, могут быть украдены данные, вводимые в формы на зараженной странице, а это могут быть конфиденциальные персональные данные.
Через XSS можно изменять данные, расположенные на странице, например, там могут быть реквизиты для связи с Банком или ссылка на Интернет-банк, которые злоумышленник может подделать и заменить подставными. Такая возможность присутствует, так как есть ссылки на сайт Internet-банка и на сайт оказания удалённых платежей с использованием платёжных карт. Также клиенты в большинстве случаев подключаются к Internet-банку по ссылке из WEB-сайта. Риск подмены ссылок присутствует.
4.1.3. Рекомендуется обучать своих клиентов. Создать на сайте web-страничку с советами о безопасном использовании Internet-банка. Как установить безопасное подключение с помощью браузера, что рекомендуется использовать, на что обращать внимание при подключении, как должен выглядеть I-банк, и как распознать подделки.
E) Security Misconfiguration (Небезопасная конфигурация).
Умолчательные учтановки различных компонентов системы реализующих web-приложение: frameworks, веб-сервер, сервер баз данных и сама ОС платформа.
Риски приемлемые, так как используется комплекс систем безопасности (FireWall, IPS, Antivirus, Qualys) контролирующий различные компоненты WEB платформы.
4.1.4. Рекомендуется настроить на web-сервере систему обнаружения атак, например, Deny Hosts или fail2ban, для автоматического ответа на подозрительные воздействия на систему.
F) Sensitive Data Exposure (Незащищенность критичных данных).
Как показано в п.2. на WEB-сайте потенциально присутствуют критичные данные.
4.1.5. Рекомендуется использовать на сайте HTTPS-протокол (SSL-шифрование).
G) Missing Function Level Access Control (Отсутствие контроля доступа на уровне функций).
На сервере Apache bмеется не используемая функциональность.
4.1.6. Рекомендуется отключить не используемые модули Apache.
H) Межсайтовая подделка запроса (Cross-Site Request Forgery, CSRF/XSRF).
Не актуально.
I) Using Components with Known Vulnerabilities (Использование компонентов с известными уязвимостями).
Риски приемлемые, так как используется комплекс систем безопасности (FireWall, IPS, Antivirus, Qualys) контролирующий различные компоненты WEB платформы.
4.1.7. Рекомендуется проводить своевременное обновление программных компонентов web-сайта: Linux, Apache, Frameworks, SQL.
J) Unvalidated Redirects and Forwards (Непроверенные переадресации и пересылки).
Не актуально.
4.2. Внешние ресурсы.
Для генерации страниц в работе сайт использованы внешние ресурсы (скрипты, шрифты, фрэймворки размещённые на “чужих”, неконтролируемых Банком серверах:
ajax.
maps.
maps.
fonts.
www.
fonts.
csi.
Использование внешних ресурсов может увеличить риск недоступности сайта из-за чужих инцидентов, а также, может приводить к атакам на сайт и утечкам статистической и даже приватной информации. Но, так как основная логика и код сайта остались собственными, и учитывая то, что сервисы Google имеют доступность более высокую чем у сервисов Банка, то аудит считает использование перечисленных выше внешних ресурсов допустимым. Риск отсутствует.
4.3. Админские роли для web-сайта и web-платформы.
Платформа: LinuxDebian/7u2, Apache/2.2.22, PHP/5.4.39-0
Роли root, web-admin и site-admin различаются. Web-сервер запущен от имени специального непривилегированного пользователя — это хорошо.
Доступ для root и web-admin ограничен по ssh, ответственный работник в ITD EAN определён.
Замечание 4.3.1. Защита базируется на настройках доступа Apache, поэтому недостаточно противостоит внешним и внутренним атакам подбора пароля и взлому сайта. Конфигурация доступа к редактированию сайта имеет следующие недостатки:
а) внешнему IP-адресу (разработчику) разрешён доступ к админской части сайта;
б) IP-адресу 81.198.170.75 разрешён доступ к админской части сайта;
в) всем пользователям внутренней сети Банка разрешён доступ к админской части сайта;
4.3.1. Рекомендуется ограничить доступ к админской части более узким кругом пользователей в локальной сети и совсем исключить возможность управления сайтом из внешней сети и из сети 81.198.170.0/24.
Замечание 4.3.2. Конфигурация сервера Apache имеет несколько активизированных, но неиспользуемых модулей Apache, неиспользуемый код увеличивает вероятность атаки и поломки сайта.
4.3.2. Рекомендуется отключить неиспользуемые модули Apache.
5. Замечания, риски и сроки устранения недостатков.
В ходе проверки выявлен ряд недостатков, требующие принятия дополнительных мер по снижению рисков. Шкала рисков: нет/выполнено-низкий-средний-высокий.
Nr | Раздел | Ссылка на рекомен-дацию | Риск | Ответственные | Срок |
1. | Юридические нормы на сайте. | ||||
1.1. | Лицензирование сторонних сервисов. | No | No | ||
1.2. | Авторские права на содержимое сайта. | 1.2.1. | Low | ||
1.2.2. | Low | ||||
1.2.3. | Low | ||||
1.3. | Приватность и конфиденциальность. | 1.3.1. | Medium | ||
1.4. | Уникальность, плотность ключевых слов и водность контента сайта | No | No | ||
2. | Функционирование интерфейса сайта. | ||||
2.1. | Ошибки интерфейса и новая кнопка «Сообщить об ошибке». | 2.1.1. | Low | MN (VK) | |
2.1.2. | Low | MN (VK) | |||
2.1.3. | Low | IT AN (SB) | |||
2.2. | Функция «Поиск». | 2.2.1. | Medium | IT AN (SB) | |
2.3. | Функциональность страницы Error 404 - «Страница не найдена». | 2.3.1. | Medium | ||
2.3.2. | Medium | ||||
2.4. | Функция защиты от SPAM-роботов. | 2.4.1. | Low | ||
2.5. | Функциональность страницы «Депозит. калькулят.» | 2.5.1. | Low | IT AN (SB) | |
2.6. | Фильрация данных в экранных формах. | 2.6.1. | Medium | IT AN (SB) | |
2.6.2. | Medium | IT AN (SB) | |||
3. | Производительность и нагрузочная способность сайта. | ||||
3.1. | Стандарты, качество кода и доступность содержания страниц. | 3.1.1. | Low | ||
3.1.2. | Low | ||||
3.1.3. | Low | ||||
3.2. | Производительность сайта Банка. | 3.2.1 | Medium | IT AN (SB) | |
3.2.2. | Low | ||||
3.3. | Нагрузочная способность сайта. | 3.3.1. | Low | IT AN (SB) | |
3.3.2. | Low | IT EAN (AR) | |||
4. | Безопасность сайта. | ||||
4.1. | OWASP Top 10. | 4.1.1. | Low | DN (JM) | |
4.1.2. | Low | IT EAN (AR) / DN (JM) | |||
4.1.3. | Low | DN (JM) | |||
4.1.4. | Low | IT EAN (AR) | |||
4.1.5. | Low | ||||
4.1.6. | Low | IT EAN (AR) | |||
4.1.7. | Low | ||||
4.2. | Внешние ресурсы. | No | No | ||
4.3. | Админские роли для web-сайта и web-платформы. | 4.3.1. | Medium | IT EAN (AR) / DN (JM) | |
4.3.2. | Low |
Примечание. Ответственные за исполнение рекомендаций в таблице обозначены аббревиатурами:
SB – Sergejs Babins;
AP – Aleksandrs Piskunovs;
AR – Aleksejs Repins
JaM – Jānis Melbārdis;
OM – Oļegs Miglāns;
JM – Jevgenijs Misņiks;
VK - Vjačeslavs Kolomejecs.
6. Выводы и заключение.
В проверке ИТ аудит не затрагивал вопросы связанные с дизайном («красотой») сайта и его бизнес-содержанием, а сосредоточил внимание на технических аспектах. Однако вопросы технической эффективности сайта не менее важны и не меньше способствуют позитивному восприятию Банка через Internet.
1. Сайт работает и построен с использованием современных технологий, отвечающих мировым трендам построения сайтов и позволяющих проводить эффективное управлять содержимым сайта. Критических ошибок в ходе проверки не обнаружено, есть несколько замечаний имеющих средний риск.
2. В ходе проверки нового web-сайта Банка www. tkb. lv были обнаружены некоторые недостатки в размещении информации ("битые" ссылки, отсутствие meta-описаний), выявлены ошибки функционирования форм, отмечена недостаточная функциональность некоторых страниц сайта, констатирована медленная загрузка сайта, отмечено отставание показателей быстродействия web-сайта Банка от конкурентов.
3. Основные риски носят репутационный характер, они связанны с недостатками функциональности и производительностью сайта, но, есть и операционные риски, связанные с безопасностью сайта и с юридическими вопросами.
4. Предложен ряд организационных и технологических решений, а также предложено использовать технические инструменты для автоматизации и формализации тестирования качества сайтов, оценки и улучшения быстродействия сайтов и сравнения сайтов Банка с конкурентами.
5. Работа по созданию нового сайта ещё не закончена, но аудит считает, что замечания связанные с функциональностью и производительностью сайта нужно исправить в ближайшее время, а замечания по юридическим вопросам и по безопасности имеют меньший приоритет по срокам исполнения.
Считаю поставленные цель и задачи по ИТ аудиту нового web-сайта Банка полностью выполненными.
Прошу Правление Банка принять данный отчёт и поручить руководителям IT daļas, Drošības daļas и Mārketinga nodaļas назначить ответственных за исправление отмеченных недостатков и за выполнение рекомендаций аудита в указанные согласованные сроки, см. раздел 5 данного отчёта.
12.06.2015.
Iekšējā audita nodaļas IS auditors: (Jurijs Šamšins)
19.06.2015. С замечаниями и выводами аудита ознакомлены сроки выполнения рекомендаций согласованы и внесены в планы работ подразделений.
IT daļas vadītāja: (Ilze Āboliņa)
Drošības daļas vadītājs: (Jevgeņijs Fokins)
Mārketinga nodaļas vadītājs: (Mārtiņš Eihmanis)
