Утечка информации о клиентах

минута на чтение

Утечка информации о клиентахУтечка информации о клиентах иногда происходит из-за несовершенства управления сеансом соединения. Большинство коммерческих Web-сайтов дают клиенту возможность начать сеанс, временно отлучиться, а затем вернуться, чтобы его продолжить. Отслеживание «местоположения» клиента во время этого процесса — сложная проблема, которую, однако, можно решить несколькими способами. Например, сервер может использовать технологию cookie (закладки) или идентификатор сеанса в строке URL, чтобы сопоставлять посетителя сайта (клиента) с просматриваемой страницей. При этом окончание сеанса не зависит от времени. Однако закладка может содержать информацию о том, Какие страницы доступны клиенту, что делает ее уязвимой (если закладкой завладеет третье лицо, для авторизованного пользователя последствия могут быть непредсказуемыми). При использовании идентификаторов сеанса в строке URL возникает другая проблема. Можно угадать идентификатор пользователя и просмотреть страницы, которые доступны в его сеансе. Кроме того, с помощью клавиши браузера Назад (в системах общего пользования, какими являются, например, Internet-кафе или библиотеки) можно «подсмотреть» некоторую информацию о предыдущем пользователе. Лучший способ управления сеансом соединения — это сохранение информации о нем в базе данных. Но при этом возникает необходимость построения надежного механизма идентификации пользователей. Политика такой идентификации должна являться частью методики управления сеансом соединения. Обычно кража информации совершается лицом доверенным, имеющим к ней прямой доступ. Если ваш коммерческий сайт работает в extranet или другой сети, опосредствующей отношения юридических лиц, персонал ваших деловых партнеров может быть такой же угрозой данным, как и ваш собственный персонал.

Facebook Vk Ok Twitter Telegram

Похожие записи:

Давайте рассмотрим следующий сценарий атаки — с использованием утечки информации. Такие атаки используют недостаточную защиту конфиденциальности в системе. Собственно говоря, утечка происходит в момент, когда атакующий вполне легально способен получить ту инфо...
В контексте электронной коммерции термин «активы» подразумевает нематериальные ценности, такие как данные о клиентах, оригинальные механизмы аутентификации, исходные тексты программного обеспечения и т. п. Ваша политика в первую очередь должна определить понят...
Взаимная защита информации партнеров — вполне выполнимая задача, если эту информацию разделить таким образом, чтобы контроль над доступом мог быть реализован отдельно для каждого сегмента и пользователя. В качестве примера сегментации информации можно привести...