Arxius de la categoria Seguretat web

Categoria de post de Mirall Digital marketing, disseny gràfic, comunicació i creació web Reus (Tarragona) que tracten de marketing seguretat web.

Actualizar PHP - Mirall digital

El 60% de les webs tindran un problema greu de seguretat a finals d’any si no actualitzen la versió de PHP

  • Necessites actualitzar la versió del PHP si vols evitar problemes de seguretat a la teva pàgina web
  • A finals d’any les versions 5.X i 7.0 de PHP deixaràn de rebre suport en seguretat i seràn vulnerables
  • El 61.7% de tots els llocs web amb “llenguatge de programació del costat del servidor conegut” utilitzen actualment les versions PHP 5.5, i PHP 5.6 (antiquades)
  • Les versions 7.0 i anteriors deixaràn de tenir suport a partir del 31 de desembre de 2018, és a dir que deixaran de rebre actualitzacions de seguretat per al seu servidor i per a les tecnologies derivades

 

El PHP, explicat de manera senzilla, és un llenguatge de “scripting” que ajuda les pàgines web a ser més interactives ja que els permet una multitud de funcionalitats. És un llenguatge del costat del servidor dissenyat per al desenvolupament web, tot i que també és usat com a llenguatge de programació general. Amb PHP, per exemple, un lloc web pot fer coses com tenir usuaris i contrasenyes. Fins a dia d’avui molta gent no tenia ni idea del PHP ni de quina versió tenia instal·lada a la seva web, ni falta que li feia. El que passa aquestes setmanes és que a finals d’any les versions 7.0 i anteriors deixaran de tenir actualitzacions i es poden convertir en un autèntic problema de seguretat. Cal, doncs, actualitzar la versió del PHP de manera urgent.

“Tota part d’una pàgina web que no està actualitzada es converteix en un problema de seguretat potencialment perillós”

Això vol dir que el dia 1 de gener de 2019 les pàgines web que no tinguin instal·lada, com a mínim, la versió 7.1 de PHP desapareixeran? No, en absolut! Això vol dir que a partir d’aquesta d’aquesta data tots els problemes que apareguin a les versions 5.X i 7.0 del PHP no es solucionaran i un dia encara per determinar aquest error pot ser letal per la web, sobretot a nivell de seguretat.

En aquesta situació concreta es posa de manifest la importància de mantenir actualitzada una pàgina web, tant a nivell de plugins com de servidor. Posem, per exemple, una pàgina web dissenyada amb wordpress. Aquesta web té, de mitjana, un tema instal·lat i uns 15 plugins, amb el que gairebé cada setmana hi ha alguna actualització per fer, a banda de l’actualització constant del propi wordpress. Ens podem trobar, d’aquesta manera, que després de 3 mesos sense mantenir la nostra web tenim per actualitzar el propi wordpress, el tema principal i 9 plugins, causant un forat de seguretat molt perillós.

“No actualitzar la pàgina web de manera continua és molt perillós a nivell de seguretat

El PHP té la peculiaritat que no el trobem a la web sino al servidor i això pot complicar una mica aquesta actualització tant necessària. Seguint amb l’exemple de la web dissenyada amb wordpress les accions a desenvolupar serien:

  • Accedir al servidor i comprovar la versió actual del PHP. Tota versió anterior a la 7.0 s’ha d’actualitzar. És recomanable fer-ho a la 7.2.
  • Comprovar que el tema i tots els plugins són compatibles amb la versió del PHP que es vol instal·lar. Existeixen plugins específics per fer aquesta comprovació.
  • Si tot el software és compatible procedir a l’actualització des del servidor. Si no ho és (això depèn de cada tema i plugin), substituir els programes no compatibles per altres de compatibles.

“És imprescindible comprobar que tots el programes que formen la web siguin compatibles amb la nova versió del PHP

Aquesta acció d’actualitzar i mantenir la web hauria de ser molt més habitual del que ho és en la majoria de les webs. Cal protegir la web d’atacs i de codi maliciós, cal mantenir les funcionalitats actives i, sobretot, ajudar a posicionar la pàgina mitjançant la creació continua de contingut.

Si tot això que us hem explicat us sona a xinès però del contrari us fieu del nostre criteri us animem a posar-vos en contacte amb nosaltres i us ajudarem a fer aquesta actualització (i totes les que necessiteu) per un preu molt assequible.

 

cookies post

Que son les cookies o galetes a internet i perquè serveixen?

[qode_animation_holder animation_type=”element_from_fade”]

Segur que navegant per internet t’has trobat en moltíssims llocs webs, per no dir en tots, una advertència que t’obliga acceptar si vols seguir en aquella web. Aquella notificació, si la llegim, ens sol dir que la web utilitza cookies, i que acceptem la seva política fent clic a “acceptar” o si seguim navegant, l’estem acceptant. Però què estem acceptant? Estem fent un pacte amb el diable per visitar qualsevol web? Doncs no, simplement estem donant permís que es guardin cookies al nostre navegador.

Sí, segurament ara estareu pensant que si el nostre navegador és com el monstre de les galetes que guarda cookies. De fet, encara que tingui aquest nom no té res a veure amb galetes. De fet una cookie és un arxiu creat per una web amb un conjunt de dades que es guarden temporalment en el nostre navegador (és a dir, en el nostre ordinador) i que es van enviant entre el navegador i les webs per saber algunes coses com ara si ja ens havíem registrat a una pàgina o, anant a cookies més elaborades, si ens interessa un tipus de producte o si el últim cop que vam entrar ens vam interessar més per uns continguts o teníem uns productes al nostre carro de la compra.

Perquè es diuen cookies?

Bé, segur que aquestes altures segur que us esteu preguntant o sentiu una mica de curiositat perquè un arxiu on es guarden dades sobre el que feu en una web es diuen així. Doncs es veu que és una referència al conte dels mítics germans Grimm, Hänsel i Gretel. A l’igual que en el conte, els nens per tornar a casa deixen un rastre de trossos de galetes, doncs nosaltres navegant anem deixant un rastre de “trossos de galetes” i d’aquí el nom. Potser us esperàveu alguna cosa més elaborada, no?

Tipus de cookies?

Sí, sí, no sols hi ha un tipus de galetes, aquí igual que en el món físic hi ha diferents variants. Aquí en van algunes i per a que es solen utilitzar:

[qode_animation_holder animation_type=”element_from_left”]

Session cookies: Tenen un curt temps de vida puig que són esborrades quan tanquis el navegador.

Persistent cookies: Són galetes persistents, que s’utilitzen per rastrejar a l’usuari guarden informació sobre el seu comportament en un lloc web durant un temps. Aquestes poden ser esborrades netejant les dades del navegador però algunes tenen una data d’expiració curta encara que hi ha algunes que fins i tot poden tenir una caducitat de deu anys.

Secure cookies: Són galetes segures on s’emmagatzema informació xifrada per evitar que les dades siguin vulnerables a atacs maliciosos de tercers. S’usen només en connexions HTTPS.

Zombie cookies: són potser el tipus més curiós perquè es recreen a si mateixes després de ser esborrades. Això vol dir que el navegador realment no té cap poder sobre elles perquè continuaran regenerant-se, d’aquí el nom tan original que tenen. Es guarden en l’ordinador o en l’aparell directament i no en el navegador (és a dir, on està guardat el navegador), això amb la finalitat que es pugui accedir a elles sense importar que el navegador s’estigui usant. Aquesta mateixa característica pot convertir-les en una amenaça per a la privadesa i seguretat de l’usuari i, en moltes ocasions, són usades amb finalitats il·legítimes i malintencionades.

També et pot interessar diseño web en Reus

tipus de galetes

Bé, doncs, després d’això potser ja sabeu què esteu acceptant visitant la nostra web o en qualsevol altra, i sinó sempre us podreu llegir la política de cookies de cada pàgina, per què és el que feu sempre, no?

cookie monster

Firma Eduard Estradé WEB design + programming mirall digital marketing reus

6 concells de seguretat avans de vacances

6 Consells de seguretat que haurieu de tenir en compte abans de marxar de vacances

[qode_animation_holder animation_type=”element_from_top”]

Si esteu llegint això és molt probable és que encara no estigueu disfrutant de les vacances, així que esteu com nosaltres. Hem cregut que potser us ajudaria que abans de marxar us donéssim alguns consells per protegir-vos en el món digital i així marxar ben tranquils. Avui us volem donar 6 consells a seguir en la seguretat dels vostres equips informàtics.

[/qode_animation_holder]
[qode_animation_holder animation_type=”element_from_left”]

1-Utilitzar una contrasenya segura al teu ordinador

Volem començar per allò més bàsic però que no sempre complim. Les estadístiques ens diuen que hi ha molta gent que no utilitza cap tipus de contrasenya als seus equips o bé en fa servir de poc segures com “1234” “contrasenya” o “qwerty”. Tot i això hi ha una situació molt pitjor que utilitzar una contrasenya molt evident que és utilitzar la mateixa per a tot. Us recomanem utilitzar una contrasenya única i amb la complexitat més gran possible combinant símbols, números i lletres. Amb això proporcionem una primera capa de seguretat a qui vulgui entrar al nostre equip sense el nostre permís i aconseguim que una persona de nivell bàsic ja no pugui accedir al nostre equip.

[/qode_animation_holder]
seguretat - seguridad
seguretat - seguridad
[qode_animation_holder animation_type=”element_from_right”]

2-Encriptar el teu disc dur

Extraient el disc dur d’un ordinador es pot accedir a tots els continguts d’un ordinador sense necessitat d’una contrasenya. Per evitar que això passi recomanem utilitzar una encriptació del disc. Un cop encriptat, un disc dur ja no és tan fàcilment llegible. Des d’un punt de vista informàtic consisteix a aplicar un algoritme associat a una o diverses contrasenyes, que converteix la informació en una cadena de lletres, nombres i símbols sense sentit. Us volem recomanar un programa per encriptar discs durs per sistemes windows:

Fort File Encryption
És un programa de codi obert per a Windows que permet a qualsevol usuari protegir tots els arxius guardats en el seu PC. Ofereix tres opcions principals de xifrat, la que permet xifrar tot el disc dur d’un sol cop, una altra que ofereix la possibilitat de crear un contenidor on tot el que es guardi es va xifrant o la possibilitat d’anar protegint arxius de forma individual.

Per tant, és capaç d’adaptar-se a les necessitats de cada usuari, ja que si l’usuari vol únicament xifrar uns determinats arxius, no cal que perdi el temps en xifrar tot el seu disc dur.

Requereix de Microsoft .Net Framework 4.0 i és compatible amb totes les versions del sistema operatiu Windows. Utilitza l’estàndard de xifrat AES de 256 bits oferint una gran seguretat i no limita la mida del fitxer a xifrar.

[/qode_animation_holder]
[qode_animation_holder animation_type=”element_from_left”]

3-Fer còpies de seguretat

Sí, aquest consell també és una mica típic i l’haureu sentit molt, però és la millor manera de no perdre la informació que tenim en un equip informàtic. Aquesta còpia de seguretat, en molt casos, és molt millor tenir-la en un lloc extern de l’equip per evitar problemes com la que ens genera la famosa partició D de Windows, que l’únic que fa són còpies de seguretat en una altra part de l’ordinador però, en cas de robatori, infecció o dany irreparable del disc dur, per molt que tinguem una còpia de seguretat, aquesta es troba al mateix disc i no la podrem recuperar. Per això recomanem múltiples discs durs, per comoditat extraïbles, o bé fer còpies de seguretat al núvol (dropbox, drive,…). I posats a demanar, que les copies estiguin encriptades!

[/qode_animation_holder]
seguretat - seguridad
seguretat - seguridad
[qode_animation_holder animation_type=”element_from_right”]

4-Apagar l’ordinador

A banda de l’estalvi energètic i en l’ús el hardware, apagant l’ordinador s’anul·la tota possibilitat de control remot del nostre ordinador per part de tercers. A part, si marxeu de viatge o no utilitzareu l’ordinador en uns quants dies, és recomanable desendollar-lo per evitar danys a la font d’alimentació en cas que la línia elèctrica tingui una sobrecàrrega. En aquest cas també seria una bona solució utilitzar un SAI com a intermediari, tot i que és més car que simplement desendollar l’equip.

[/qode_animation_holder]
[qode_animation_holder animation_type=”element_from_left”]

5-Apagar l’encaminador (router)

Apagant-lo deixem de donar accés al wifi i la possibilitat que algú craquegi el router i tingui accés a internet a través nostre, tot i que aquest cas, amb les tarifes planes, el mal seria molt menor que si algú accedeix al nostre encaminador i l’infecta, obté accés a totes les nostres connexions i, per tant, a tot el que s’envia per la nostra xarxa i tot el que es fa a través d’ella. Per això és molt important tenir un bon router i tenir-lo ben configurat i segur.

[/qode_animation_holder]
seguretat - seguridad
seguretat - seguridad
[qode_animation_holder animation_type=”element_from_right”]

6-Vigila en quines xarxes wifi et connectes.

És molt típic durant els viatges anar buscant contínuament connexions a xarxes wifi gratuïtes. Deixant de banda el negoci que hi pugui haver al darrere d’oferir wifi gratis (si el producte és gratuït normalment el producte ets tu), connectant-se a aquestes xarxes estem posant en risc la nostra privadesa i seguretat. Cal tenir els dispositius mòbils molt ben configurats per evitar que algú, a través d’una xarxa oberta, pugui entrar al nostre equip i extreure informació confidencial. Recomanem, doncs, que abans de connectar-se a qualsevol xarxa wifi desconeguda valoreu totes les opcions i, en cas d’haver-ho de fer, fer-ho utilitzant una VPN, tenint un bon fire wall o disposant d’altres opcions de protecció.

[/qode_animation_holder]
[qode_animation_holder animation_type=”element_transform”]

No cal alarmar-se ni tornar-se boig, però seguint aquests sis passos la seguretat dels teus equips informàtics estarà garantida i t’estalviaràs ensurts i pèrdua de contingut. Esperem que gaudiu molt de les vacances!

“Més val prevenir que curar.”

Firma Eduard Estradé WEB design + programming mirall digital marketing reus

[/qode_animation_holder]
local hack day urv tarragona

Hack URV – Local Hack Day 2016

El passat dissabte dia 3 de desembre de 2016 vaig tenir la sort de participar del local hack day a la URV de Tarragona. El Local hack day és un esdeveniment mundial que organitza la MLH (Major League Hacking) paral·lelament a molts llocs de tot el món. L’acte organitzat a la URV  va tenir una durada de 12 hores, de 9 del matí a 9 de la nit.

seguretat local hack day urv tarragonaLa jornada es va compondre de tallers i xerrades molt interessants i diverses. Des de Docker, passant per Android Auto i la informació exposada dels automòbils actualment, aturant-nos per provar les ulleres de realitat virtual HTC i Oculus rift i aprendre el funcionament bàsic de les curioses i potents plaques electròniques Arduino, fent una important parada per parlar de seguretat i de com estan exposats molts sistemes avui en dia i com de fàcil resulta accedir-hi amb pocs coneixements de hacking. La sessió va culminar analitzant el potencial de Ruby per crear servidors i el control que se’n pot tenir.

La jornada constava de molts altres tallers i xerrades, en paral·lel a les exposades, però com que encara no podem estar a dos llocs alhora vam haver de triar, resultant l’elecció molt encertada, donat d’alt nivell dels conferenciants i l’alt interès generat en les diferents temàtiques.

Durant aquestes 12 hores vaig poder descobrir un món curiós i ampli en el sector de la creació o seguretat a entorns digitals (l’internet of the things ha ampliat aquest sector a qualsevol objecte connectat), fugint d’estereotips i encarant problemàtiques reals, i treballant amb eines actuals per tal de combatre, des d’una organització, possibles atacs a webs pròpies. M’emporto la sensació que investigant i dedicant temps es poden aconseguir coses al·lucinants i molt útils a la seguretat informàtica, una visió essencial que les webs estan mal protegides, que no es dediquen prou recursos a la protecció de les webs corporatives i que cal molta feina de base per tal d’evitar problemes seriosos.

En resum una experiència genial la qual espero amb moltes ganes repetir el més aviat possible i la qual recomano enormement a qualsevol persona del sector informàtic o algú que li agradi la tecnologia en general. Ara toca aplicar aquests nous coneixements a Mirall digital, tant a la nostra web com a les dels nostres clients.

“No system is safe”, but with knowledge and dedication can be more difficult to hack.

Firma Eduard Estradé WEB design + programming mirall digital marketing reus