Помощь студентам в учебе
Проект по созданию сайта ипотечного страхования для Томского филиала АО «СОГАЗ»
|
Введение 8
Глава 1 Томский филиал АО «СОГАЗ» на рынке ипотечного кредитования 11
1.1 Краткая характеристика АО «СОГАЗ» 11
1.2 Анализ деятельности по ипотечному страхованию в Томском филиале АО «СОГАЗ» .... 20
1.3 Сравнительный анализ основных партнеров по ипотечному страхованию в Томском
филиале АО «СОГАЗ» 36
Глава 2 Создание проекта сайта ипотечного страхования для Томского филиала АО «СОГАЗ» 53
2.1 Описание и перспективы развития проекта 53
2.2 Разработка сайта по ипотечному страхованию 56
2.3 Преимущества и недостатки сайта ипотечного страхования 58
2.4 Безопасность сайта ипотечного страхования 60
Глава 3 Корпоративная социальная ответственность АО «СОГАЗ» 81
3.1 Стейкхолдереры АО «СОГАЗ» 83
3.2 Внешняя социальная ответственности компании 85
3.3 Внутренняя социальная ответственности компании 89
3.4 Оценка эффективности и выработка рекомендаций 90
Заключение 91
Список используемых источников 97
Приложение А 102
Приложение Б 112
Приложение В 113
Приложение Г 114
Глава 1 Томский филиал АО «СОГАЗ» на рынке ипотечного кредитования 11
1.1 Краткая характеристика АО «СОГАЗ» 11
1.2 Анализ деятельности по ипотечному страхованию в Томском филиале АО «СОГАЗ» .... 20
1.3 Сравнительный анализ основных партнеров по ипотечному страхованию в Томском
филиале АО «СОГАЗ» 36
Глава 2 Создание проекта сайта ипотечного страхования для Томского филиала АО «СОГАЗ» 53
2.1 Описание и перспективы развития проекта 53
2.2 Разработка сайта по ипотечному страхованию 56
2.3 Преимущества и недостатки сайта ипотечного страхования 58
2.4 Безопасность сайта ипотечного страхования 60
Глава 3 Корпоративная социальная ответственность АО «СОГАЗ» 81
3.1 Стейкхолдереры АО «СОГАЗ» 83
3.2 Внешняя социальная ответственности компании 85
3.3 Внутренняя социальная ответственности компании 89
3.4 Оценка эффективности и выработка рекомендаций 90
Заключение 91
Список используемых источников 97
Приложение А 102
Приложение Б 112
Приложение В 113
Приложение Г 114
Актуальность темы исследования заключается в том, что ипотечное кредитование в настоящее время в нашей стране интенсивно развивается: растут объемы кредитных портфелей операторов ипотечного рынка, появляются новые игроки с собственными ипотечными программами, создаются законодательные инициативы федеральных и местных органов власти, западные финансовые структуры проявляют активный интерес к этому бизнесу. Расширение операций по долгосрочному ипотечному кредитованию неразрывно связано с созданием условий для решения задачи привлечения достаточного объема долгосрочных ресурсов с финансового рынка и рынка капиталов, что определяет важность отработки надежного механизма финансирования кредиторов и что немаловажно - обеспечения гарантий надежности инвесторам, направляющим свои капиталы на рынок долгосрочных жилищных ипотечных кредитов.
Как и любой другой вид банковских операций, ипотечное кредитование подвержено рискам. Их достаточно много, и они могут быть вызваны различными причинами - экономическими, инфляционными, валютными, налоговыми, политическими. Источниками рисков являются уровень жизни населения, кредитно-финансовая политика государства, применяемые инвестиционно-кредитные технологии и инструменты, ипотечные стандартах, динамика стоимости недвижимости и т.д. В ипотечном кредитовании существует эффективный механизм снижения рисков - ипотечное страхование или страхование кредитного риска, позволяющее гарантировать компенсацию какой-то части потерь в случае возникновения финансовых проблем у заемщика. В связи с активным развитием ипотечного кредитования, важным является развитие и совершенствование страхования рисков в ипотечном кредитовании.
В связи с тем, что договора ипотечного страхования заключаются на весь период действия кредитного договора, подразумевается его ежегодное продление. Для удобства потребителей ипотечного страхования предлагается разработать проект по пролонгации договоров на сайте страховой компании.
Целью исследования является разработать проект по созданию сайта ипотечного страхования для Томского филиала АО «СОГАЗ».
Для достижения поставленной цели необходимо решить следующие задачи:
7. Дать краткую характеристику ТФ АО «СОГАЗ»
8. Проанализировать страхование при ипотечном кредитовании в ТФ АО «СОГАЗ»
9. Провести сравнительный анализ основных партнеров по ипотечному страхованию в Томском филиале АО «СОГАЗ»
10. Оценить конкурентоспособность страховой компании «СОГАЗ»
11. Создать сайт ипотечного страхования для Томского филиала АО «СОГАЗ»
12. Выявить риски онлайн страхования и дать рекомендации по их минимизации
Методической основой исследования являются труды следующих авторов: Афонина А. В., Ростова Е. П., Бартенева И. Д., Высоковских Е. Н., Глинкина Е. В., Гончарова О. А., Долгих П. А., Зайнуллина С. Р., Комардина О., Комлева Н., Петров Д. В., Петрова Т. В., Пономарев В., Семенюк А. Г., Сердюкова Ю. А., Цыганов А. А., Цыренова И. Б., Шор И. М., Юдина Т. О., Яроцкая Е. В.
В России, на данном этапе развития ипотечного кредитования, отсутствует полная статистика проблемных и невыплаченных кредитов, нет обширной практики судебного обращения взыскания на предмет залога, реализации залога с торгов, не развита система кредитных бюро, из-за чего оценка кредитных рисков чрезвычайно затруднительна. По этой причине работ, посвященных проблемам именно страхования кредитного риска при ипотечном жилищном кредитовании крайне мало. Кроме того, само ипотечное кредитование в России довольно молодо и не накопило достаточной статистической базы. В последнее время появились исследования отечественных ученых-финансистов в области финансовой математики, ипотечного кредитования, к которым относятся: С. Г ончаров, А. Копейкин, А. Корнилов, Н. Пастухова, Н. Рогожина, В. Селюков, А. Семеняка, А. Туманов, А. Черняк, Е. Четыркин и др. К зарубежным ученым-финансистам, занимающимся изучением вопросов ипотечного кредитования относятся: Б. Гвиннер, Б. Гулд, Э. Элиот.
Информационной базой исследования послужили годовая отчетность Томского филиала АО «СОГАЗ», статистические данные Росстата, финансовые материалы в сети Интернет, законодательные акты высших органов власти, нормативные документы и статистическая информация Банка России.
При написании работы и обработки данных использовалась различные методы анализа: группировка данных, анализ и синтез, системный подход, графические модели.
Структура работы. Работа состоит из введения, двух глав, заключения и списка нормативно-правовых актов и литературы. Введение включает в себя научный аппарат исследования: актуальность темы; цель и задачи исследования.
Первая глава посвящена теоретическим основам ипотечного страхования; здесь рассмотрены экономическое содержание и сущность ипотечного страхования; выделены условия и критерии ипотечного страхования.
Вторая глава носит практический характер и в ней проведён алгоритм создания сайта ипотечного страхования Томского филиала АО «СОГАЗ», проанализированы риски информационной безопасности и приведены меры по их минимизации.
Как и любой другой вид банковских операций, ипотечное кредитование подвержено рискам. Их достаточно много, и они могут быть вызваны различными причинами - экономическими, инфляционными, валютными, налоговыми, политическими. Источниками рисков являются уровень жизни населения, кредитно-финансовая политика государства, применяемые инвестиционно-кредитные технологии и инструменты, ипотечные стандартах, динамика стоимости недвижимости и т.д. В ипотечном кредитовании существует эффективный механизм снижения рисков - ипотечное страхование или страхование кредитного риска, позволяющее гарантировать компенсацию какой-то части потерь в случае возникновения финансовых проблем у заемщика. В связи с активным развитием ипотечного кредитования, важным является развитие и совершенствование страхования рисков в ипотечном кредитовании.
В связи с тем, что договора ипотечного страхования заключаются на весь период действия кредитного договора, подразумевается его ежегодное продление. Для удобства потребителей ипотечного страхования предлагается разработать проект по пролонгации договоров на сайте страховой компании.
Целью исследования является разработать проект по созданию сайта ипотечного страхования для Томского филиала АО «СОГАЗ».
Для достижения поставленной цели необходимо решить следующие задачи:
7. Дать краткую характеристику ТФ АО «СОГАЗ»
8. Проанализировать страхование при ипотечном кредитовании в ТФ АО «СОГАЗ»
9. Провести сравнительный анализ основных партнеров по ипотечному страхованию в Томском филиале АО «СОГАЗ»
10. Оценить конкурентоспособность страховой компании «СОГАЗ»
11. Создать сайт ипотечного страхования для Томского филиала АО «СОГАЗ»
12. Выявить риски онлайн страхования и дать рекомендации по их минимизации
Методической основой исследования являются труды следующих авторов: Афонина А. В., Ростова Е. П., Бартенева И. Д., Высоковских Е. Н., Глинкина Е. В., Гончарова О. А., Долгих П. А., Зайнуллина С. Р., Комардина О., Комлева Н., Петров Д. В., Петрова Т. В., Пономарев В., Семенюк А. Г., Сердюкова Ю. А., Цыганов А. А., Цыренова И. Б., Шор И. М., Юдина Т. О., Яроцкая Е. В.
В России, на данном этапе развития ипотечного кредитования, отсутствует полная статистика проблемных и невыплаченных кредитов, нет обширной практики судебного обращения взыскания на предмет залога, реализации залога с торгов, не развита система кредитных бюро, из-за чего оценка кредитных рисков чрезвычайно затруднительна. По этой причине работ, посвященных проблемам именно страхования кредитного риска при ипотечном жилищном кредитовании крайне мало. Кроме того, само ипотечное кредитование в России довольно молодо и не накопило достаточной статистической базы. В последнее время появились исследования отечественных ученых-финансистов в области финансовой математики, ипотечного кредитования, к которым относятся: С. Г ончаров, А. Копейкин, А. Корнилов, Н. Пастухова, Н. Рогожина, В. Селюков, А. Семеняка, А. Туманов, А. Черняк, Е. Четыркин и др. К зарубежным ученым-финансистам, занимающимся изучением вопросов ипотечного кредитования относятся: Б. Гвиннер, Б. Гулд, Э. Элиот.
Информационной базой исследования послужили годовая отчетность Томского филиала АО «СОГАЗ», статистические данные Росстата, финансовые материалы в сети Интернет, законодательные акты высших органов власти, нормативные документы и статистическая информация Банка России.
При написании работы и обработки данных использовалась различные методы анализа: группировка данных, анализ и синтез, системный подход, графические модели.
Структура работы. Работа состоит из введения, двух глав, заключения и списка нормативно-правовых актов и литературы. Введение включает в себя научный аппарат исследования: актуальность темы; цель и задачи исследования.
Первая глава посвящена теоретическим основам ипотечного страхования; здесь рассмотрены экономическое содержание и сущность ипотечного страхования; выделены условия и критерии ипотечного страхования.
Вторая глава носит практический характер и в ней проведён алгоритм создания сайта ипотечного страхования Томского филиала АО «СОГАЗ», проанализированы риски информационной безопасности и приведены меры по их минимизации.
В настоящее время в России ипотечное страхование является комплексным и состоит из 4 подвидов: страхование имущества, являющегося предметом ипотеки, страхования риска утраты права собственности на предмет ипотеки, страхование заемщика кредита от несчастных случаев и болезней, страхование ответственности заемщика за невозврат кредита. Следует, однако, отметить, что существующее законодательство не предусматривает страхования заемщика кредита на случай потери им работы по независящим от него причинам, которые не связаны с утратой им здоровья, в связи с чем введение данного подвида ипотечного страхования в условиях глобального экономического кризиса представляется актуальным.
Во многих договорах ипотеки имеются условия, обязывающие залогодателя (заемщика кредита) страховать не только имущество, но и риск утраты права собственности на предмет ипотеки, а также страховать себя от несчастных случаев и болезней в пользу залогодержателя (банка). Это не соответствует ч. 2 ст. 16 Закона РФ от 7 февраля 1992 г. № 2300-1 «О защите прав потребителей», которое не допускает навязывания потребителю товаров (работ, услуг). В правоприменительной практике сформировалась позиция, согласно которой при определенных условиях требование о страховании, содержащееся в кредитном договоре, может быть квалифицировано как навязывание страховой услуги. Таким образом, задачей законодателей, по мнению инициаторов законопроекта, могло бы стать разрешение указанного противоречия, а именно указание условий допустимости (недопустимости) страхования или иных услуг (по оценке имущества, открытию и ведению банковского счета и т. п.).
В первую очередь банки акцентируют внимание на страховании жизни и здоровья самого заемщика, так как согласно статистике именно, заемщики более подвержены риску, нежели объект - залогового имущества. Таким образом, банк уберегает себя от предполагаемых убытков из- а смерти заемщика, полной или частичной утраты трудоспособности, длительной болезни. Вместе с тем это одновременно означает риски для страховых компаний, поскольку уже имели место неоднократные случаи смерти заемщиков от тяжелых заболеваний спустя несколько недель после заключения договора страхования, обусловленных длительным употреблением алкоголя или хроническим их течение.
В диссертации был проведен анализ томского филиала АО «СОГАЗ». Согласно проведенному анализу АО «СОГАЗ» занимает одну из лидирующих позиций на рынке в области ипотечного страхования. Томский филиал АО «СОГАЗ» предоставляет выгодные условия для сотрудничества и обладает следующими преимуществами ипотечного страхования: широкая сеть банков- партнеров, индивидуальный подход к каждому клиенту, гибкая тарифная политика, оперативная подготовка страховой документации, выгодные условия при покупке других полисов.
Понимая необходимость новшеств, Томский филиал принял решение о создании собственного сайта ипотечного страхования для открытия новых возможностей: помощи в поддержании старых и установлении новых связей на рынке страхования; создания инструмента распространения информации о страховой компании и ее услугах; оказания информационной и сервисной поддержки клиентов и партнеров страховой компании; увеличения объема продаж, поиск новых клиентов; продвижение услуг страхования; обучение и повышение квалификации сотрудников страховой компании; обмен информацией с удаленными представительствами; предоставление услуг клиентам и партнерам компании круглосуточно; обратная связь с клиентами в любое время, в любом месте.
Нужно отметить, что, несмотря на то, что собственный сайт - это новые возможности, но необходимо предусмотреть и риски. Основной риск в данном случае - конфиденциальная информация и ее защита. В диссертации также рассмотрены меры по предотвращению взлома и разработаны профилактические меры для конкретных сотрудников.
Основным сотрудником является администратор сайта, поэтому приведем меры, разработанные для него.
• Хранить в недоступном месте учётные данные доступа;
• Использовать длинные комплексные пароли и нестандартные логины, периодически выполнять их смену; Пароль должен храниться в зашифрованном виде. Можно использовать такие алгоритмы, как SHA. Во время авторизации будут сравниваться только зашифрованные данные паролей.
• Своевременно обновлять скрипты с выходом обновлений; Своевременное обновление программного обеспечения помогает обезопасить сайт. Это относится как к серверному обеспечению, так и к любому обеспечению, которое может быть запущено на сайте, например, CMS. Как только находятся дыры в безопасности — хакеры тут же ими пользуются. Об обновлении серверного программного обеспечения должна беспокоиться хостинг компания, так что вам, возможно, не стоит беспокоиться об этом.
Если используется программное обеспечение сторонних разработчиков, например, CMS, то нужно убедиться, что версия актуальна на текущий момент. У большинства разработчиков есть RSS лента с описанием всех вопросов безопасности. WordPress и многие другие CMS уведомляют о доступных новых версиях системы.
• При выборе компонента проверять на наличие незакрытых уязвимостей;
• Следить за правами на файлы скриптов и особенно критические файлы конфигурации;
• Разрешить доступ средствам веб-сервера (например, htaccess и .ftpaccess) только с IP администратора сайта;
• Сохранять копирайты авторов скриптов, но также учитывать то, что по ним, а также фрагментам адресной строки модулей, злоумышленники и ищут уязвимые сайты, следовательно, необходимо изменить стандартные адреса обращения к скриптам;
• Периодически, в том числе внешними сервисами, проверять доступность конкретных разделов сайта;
• Иметь локальные бекапы сайтов или настроить резервное копирование в Plesk, глубина хранения резервных копий на виртуальном хостинге - 7 суток, этого может быть недостаточно, если вы поздно обнаружите взлом;
• Настроить доступ к административным разделам сайта, а также к формам регистрации, платежей и передачи личной информации через защищённый протокол HTTPS, приобретите и установите SSL-сертификат;
• Заходить только по SFTP, так как при работе по протоколу FTP учётные данные передаются в открытом виде;
• Никогда не использовать дистрибутивы веб-приложений, в том числе CMS и их модули/плагины, полученные из неофициальных источников. Особенно это относится к так называемым «nulled», взломанным версиям, они часто содержат скрытые скрипты для несанкционированного доступа. Использование нелицензионного ПО запрещено законодательством РФ и Правилами предоставления услуг хостинга.
• Использовать SQL инъекции. SQL инъекции - атака, когда хакер использует поле web формы или параметры URL строки с целью получения и манипулирования данными, хранящимися в базе данных. При использовании обычных SQL запросов можно вставить вредоносный код, который может изменить таблицы, получить информацию или удалить данные.
• Использовать XSS. Cross Site Scripting - атака, в которой злоумышленник пытается запустить вредоносный код для посетителей сайта. Нужно убедиться, что вы всегда проверяете данные, кодируете, обрезаете или удаляете все сторонние HTML вставки.
• Использовать общие сообщения типа «Неправильное имя пользователя или пароль». Не надо уточнять, что именно, имя или пароль неверны, так как это позволит злоумышленнику понять, что он разгадал одно поле и может сконцентрироваться на другом.
• Проверять данные как в браузере, так и на стороне сервера. В браузере можно отловить простые ошибки и выделить поля, в которых допущены ошибки. Например, проверить на пустоту или на ввод только цифр. Однако, эти проверки могут быть легко пропущены и на сервер могут отправиться непроверенные данные. Если сервер не будет проверять входные данные, то это может привести к нежелательным последствиям.
• Проверять загруженные файлы. Позволять пользователям загружать файлы на сервер очень опасно, даже если они всего лишь меняют аватар. Риск в том, что загруженный файл может содержать скрипт, который может быть выполнен на сервере, если открыть его через браузер. При наличии формы для загрузки файлов, нужно проверять загружаемые файлы. Несмотря на расширение файла или MIME тип нужно убедиться, что файл является изображением, так как их можно легко подделать. Большинство изображений позволяют хранить раздел комментариев, которые могут содержать PHP код, который может быть выполнен на сервере.
• Безопасность сервера. Убедитесь, что у вас установлен firewall и блокируются все несущественные порты.
Установить DMZ (демилитаризованная зона), обеспечивающую доступ к порту 80 и 443. Для загрузки файлов на сервер, использовать только безопасные методы, такие как SFTP или SSH. Также запустить базу данных на другом сервере. Таким образом только web-сервер сможет получить доступ к базе данных. В результате данные будут лучше защищены.
• Использовать SSL. SSL - протокол, который используется для обеспечения безопасности в Интернете. Всякий раз, когда вы передаете информацию между сайтом и web-сервером, используется сертификат безопасности. Но, если средства коммуникации не являются безопасными, злоумышленники могут получить сертификат и получить доступ к данным пользователей.
Как мы видим список рекомендаций достаточно обширен и ответственность за сайт не может принадлежать одному человеку,соответственно целесообразно использовать узкоспециализированных специалистов - программиста и кодера.
Во многих договорах ипотеки имеются условия, обязывающие залогодателя (заемщика кредита) страховать не только имущество, но и риск утраты права собственности на предмет ипотеки, а также страховать себя от несчастных случаев и болезней в пользу залогодержателя (банка). Это не соответствует ч. 2 ст. 16 Закона РФ от 7 февраля 1992 г. № 2300-1 «О защите прав потребителей», которое не допускает навязывания потребителю товаров (работ, услуг). В правоприменительной практике сформировалась позиция, согласно которой при определенных условиях требование о страховании, содержащееся в кредитном договоре, может быть квалифицировано как навязывание страховой услуги. Таким образом, задачей законодателей, по мнению инициаторов законопроекта, могло бы стать разрешение указанного противоречия, а именно указание условий допустимости (недопустимости) страхования или иных услуг (по оценке имущества, открытию и ведению банковского счета и т. п.).
В первую очередь банки акцентируют внимание на страховании жизни и здоровья самого заемщика, так как согласно статистике именно, заемщики более подвержены риску, нежели объект - залогового имущества. Таким образом, банк уберегает себя от предполагаемых убытков из- а смерти заемщика, полной или частичной утраты трудоспособности, длительной болезни. Вместе с тем это одновременно означает риски для страховых компаний, поскольку уже имели место неоднократные случаи смерти заемщиков от тяжелых заболеваний спустя несколько недель после заключения договора страхования, обусловленных длительным употреблением алкоголя или хроническим их течение.
В диссертации был проведен анализ томского филиала АО «СОГАЗ». Согласно проведенному анализу АО «СОГАЗ» занимает одну из лидирующих позиций на рынке в области ипотечного страхования. Томский филиал АО «СОГАЗ» предоставляет выгодные условия для сотрудничества и обладает следующими преимуществами ипотечного страхования: широкая сеть банков- партнеров, индивидуальный подход к каждому клиенту, гибкая тарифная политика, оперативная подготовка страховой документации, выгодные условия при покупке других полисов.
Понимая необходимость новшеств, Томский филиал принял решение о создании собственного сайта ипотечного страхования для открытия новых возможностей: помощи в поддержании старых и установлении новых связей на рынке страхования; создания инструмента распространения информации о страховой компании и ее услугах; оказания информационной и сервисной поддержки клиентов и партнеров страховой компании; увеличения объема продаж, поиск новых клиентов; продвижение услуг страхования; обучение и повышение квалификации сотрудников страховой компании; обмен информацией с удаленными представительствами; предоставление услуг клиентам и партнерам компании круглосуточно; обратная связь с клиентами в любое время, в любом месте.
Нужно отметить, что, несмотря на то, что собственный сайт - это новые возможности, но необходимо предусмотреть и риски. Основной риск в данном случае - конфиденциальная информация и ее защита. В диссертации также рассмотрены меры по предотвращению взлома и разработаны профилактические меры для конкретных сотрудников.
Основным сотрудником является администратор сайта, поэтому приведем меры, разработанные для него.
• Хранить в недоступном месте учётные данные доступа;
• Использовать длинные комплексные пароли и нестандартные логины, периодически выполнять их смену; Пароль должен храниться в зашифрованном виде. Можно использовать такие алгоритмы, как SHA. Во время авторизации будут сравниваться только зашифрованные данные паролей.
• Своевременно обновлять скрипты с выходом обновлений; Своевременное обновление программного обеспечения помогает обезопасить сайт. Это относится как к серверному обеспечению, так и к любому обеспечению, которое может быть запущено на сайте, например, CMS. Как только находятся дыры в безопасности — хакеры тут же ими пользуются. Об обновлении серверного программного обеспечения должна беспокоиться хостинг компания, так что вам, возможно, не стоит беспокоиться об этом.
Если используется программное обеспечение сторонних разработчиков, например, CMS, то нужно убедиться, что версия актуальна на текущий момент. У большинства разработчиков есть RSS лента с описанием всех вопросов безопасности. WordPress и многие другие CMS уведомляют о доступных новых версиях системы.
• При выборе компонента проверять на наличие незакрытых уязвимостей;
• Следить за правами на файлы скриптов и особенно критические файлы конфигурации;
• Разрешить доступ средствам веб-сервера (например, htaccess и .ftpaccess) только с IP администратора сайта;
• Сохранять копирайты авторов скриптов, но также учитывать то, что по ним, а также фрагментам адресной строки модулей, злоумышленники и ищут уязвимые сайты, следовательно, необходимо изменить стандартные адреса обращения к скриптам;
• Периодически, в том числе внешними сервисами, проверять доступность конкретных разделов сайта;
• Иметь локальные бекапы сайтов или настроить резервное копирование в Plesk, глубина хранения резервных копий на виртуальном хостинге - 7 суток, этого может быть недостаточно, если вы поздно обнаружите взлом;
• Настроить доступ к административным разделам сайта, а также к формам регистрации, платежей и передачи личной информации через защищённый протокол HTTPS, приобретите и установите SSL-сертификат;
• Заходить только по SFTP, так как при работе по протоколу FTP учётные данные передаются в открытом виде;
• Никогда не использовать дистрибутивы веб-приложений, в том числе CMS и их модули/плагины, полученные из неофициальных источников. Особенно это относится к так называемым «nulled», взломанным версиям, они часто содержат скрытые скрипты для несанкционированного доступа. Использование нелицензионного ПО запрещено законодательством РФ и Правилами предоставления услуг хостинга.
• Использовать SQL инъекции. SQL инъекции - атака, когда хакер использует поле web формы или параметры URL строки с целью получения и манипулирования данными, хранящимися в базе данных. При использовании обычных SQL запросов можно вставить вредоносный код, который может изменить таблицы, получить информацию или удалить данные.
• Использовать XSS. Cross Site Scripting - атака, в которой злоумышленник пытается запустить вредоносный код для посетителей сайта. Нужно убедиться, что вы всегда проверяете данные, кодируете, обрезаете или удаляете все сторонние HTML вставки.
• Использовать общие сообщения типа «Неправильное имя пользователя или пароль». Не надо уточнять, что именно, имя или пароль неверны, так как это позволит злоумышленнику понять, что он разгадал одно поле и может сконцентрироваться на другом.
• Проверять данные как в браузере, так и на стороне сервера. В браузере можно отловить простые ошибки и выделить поля, в которых допущены ошибки. Например, проверить на пустоту или на ввод только цифр. Однако, эти проверки могут быть легко пропущены и на сервер могут отправиться непроверенные данные. Если сервер не будет проверять входные данные, то это может привести к нежелательным последствиям.
• Проверять загруженные файлы. Позволять пользователям загружать файлы на сервер очень опасно, даже если они всего лишь меняют аватар. Риск в том, что загруженный файл может содержать скрипт, который может быть выполнен на сервере, если открыть его через браузер. При наличии формы для загрузки файлов, нужно проверять загружаемые файлы. Несмотря на расширение файла или MIME тип нужно убедиться, что файл является изображением, так как их можно легко подделать. Большинство изображений позволяют хранить раздел комментариев, которые могут содержать PHP код, который может быть выполнен на сервере.
• Безопасность сервера. Убедитесь, что у вас установлен firewall и блокируются все несущественные порты.
Установить DMZ (демилитаризованная зона), обеспечивающую доступ к порту 80 и 443. Для загрузки файлов на сервер, использовать только безопасные методы, такие как SFTP или SSH. Также запустить базу данных на другом сервере. Таким образом только web-сервер сможет получить доступ к базе данных. В результате данные будут лучше защищены.
• Использовать SSL. SSL - протокол, который используется для обеспечения безопасности в Интернете. Всякий раз, когда вы передаете информацию между сайтом и web-сервером, используется сертификат безопасности. Но, если средства коммуникации не являются безопасными, злоумышленники могут получить сертификат и получить доступ к данным пользователей.
Как мы видим список рекомендаций достаточно обширен и ответственность за сайт не может принадлежать одному человеку,соответственно целесообразно использовать узкоспециализированных специалистов - программиста и кодера.