Bezpieczny CMS
System zarządzania treścią eduCMS został zaprojektowany zgodnie z założeniem: „Bezpieczeństwo to podstawa”. Każdy mechanizm systemu został zaprogramowany w sposób uwzględniający ochronę przed popularnymi zagrożeniami występującymi w sieci. Zarówno silnik systemu, jak i każdy moduł dodatkowy jest zoptymalizowany pod względem bezpieczeństwa. W przeciwieństwie do systemów CMS otwartego oprogramowania (open source) takich jak: Joomla! czy Wordpress, kod aplikacji nie jest dostępny dla włamywaczy, więc mechanizmy zabezpieczające pozostają dla innych tzw. czarną skrzynką.
Ochrona przed spamem
Każdy formularz używany w systemie CMS, jest zabezpieczony przed niebezpiecznymi botami spamerskimi. Autorska metoda zabezpieczenia nie utrudnia „prawdziwemu” użytkownikowi korzystania z witryny www, a jednocześnie uniemożliwia wysłania formularza przez spam boty. W Internecie bardzo często formularze zabezpieczane są metodą CAPTCHA. Profesjonalnie zastosowanie tej techniki skutecznie chroni witrynę przed spamem, jednak znacznie utrudnia ona pracę i irytuje użytkowników. Wiele witryn stosuje prymitywne mechanizmy CAPTCHA, które z łatwością są łamane. W wielu wypadkach można skutecznie zabezpieczyć witrynę bez konieczności stosowania tego mechanizmu.
Ochrona przed XSS
Każde źródło wejściowe do systemu eduCMS jest zabezpieczone przed atakami typu Cross-site scripting (XSS). Jest to sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kawałka niechcianego kodu, który wyświetlony innym użytkownikom może wywołać wykonywanie przez nich niepożądanych akcji. W systemie zarządzania treścią eduCMS został opracowany zabezpieczony system wejścia, czyli system pozyskiwania danych zewnętrznych (z formularza, URL’a, ciasteczek, sesji itd.). System ten uniemożliwia niezautoryzowanym użytkownikom dodawanie złośliwych wstawek w innych językach (HTML, CSS, JS). Mechanizm zabezpieczający blokuje również ataki typu SQL Injection, w przypadku gdy dane wejściowe mają zostać przekazane do zapytania do bazy danych.
Zabezpieczenie przed włamaniem na konto
Bardzo często, mimo najlepszych zabezpieczeń systemowych, najsłabszym ogniwem w systemie zabezpieczeń jest człowiek, a w przypadku systemów zarządzania treścią – administrator serwisu. W przypadku, gdy haker nie może poradzić sobie ze złamaniem zabezpieczeń technicznymi sposobami, albo wymagało by to zbyt dużego nakładu pracy, spróbuje czegoś łatwiejszego – podszyje się pod administratora. Programiści systemu eduCMS przewidują również taki scenariusz i próbują przed nim chronić.
System uniemożliwia włamywaczowi wykradnięcie sesji legalnego użytkownika (tzn. Session Hijacking). Ze względów bezpieczeństwa zasadza działania tego mechanizmu, nie jest dostępna publicznie i nie może zostać tutaj szczegółowo opisana.
W systemie nie występują „słownikowe” loginy dla kont zarządzających (takie jak np. administrator, admin, itd.). W każdym zainstalowanym systemie zarządzania treścią eduCMS wymagane jest ręczne utworzenie konta administratora. Loginem dostępowym jest adres email, a pierwsze hasło generowane jest automatycznie (nie ma standardowych haseł). Adres email konta administracyjnego jest często tworzony tylko na potrzeby logowania, więc złośliwy użytkownik nie znajdzie informacji o nim w obrębie witryny.
Wszystkie hasła użytkowników systemu przechowywane są w bazie danych w specjalnie przygotowanej skróconej formie, za pomocą przetworzonej funkcji haszującej (zmodyfikowany algorytm SHA-1). Dzięki temu nawet gdyby komuś udało się włamać do bazy danych, to i tak nie będzie w stanie poznać haseł użytkowników. Z drugiej strony jednak, nawet administrator systemu nie jest w stanie odzyskać haseł użytkowników – ponieważ funkcja skrótu jest nieodwracalna. Ma on natomiast możliwość zresetowania hasła dowolnemu użytkownikowi (w przypadku gdy ten np. go zapomniał).
Ochrona danych w treści stron
Bezpieczeństwo witryn internetowych to nie tylko zabezpieczenia przez włamaniem czy podszyciem się pod uprzywilejowanego użytkownika. To również masowa kradzież danych ze stron www. Specjalnie zaprojektowane spamerskie roboty internetowe przeszukują sieć w poszukiwaniu adresów email zamieszczanych na stronach www. Każdy znaleziony adres dopisują do listy, która jest później wykorzystywana do rozsyłania spamu. System eduCMS dostarcza mechanizmów, uniemożliwiających znajdowanie adresów emaila przez roboty – pozostawiając je widoczne dla prawdziwych użytkowników - email cloaking.
Przyjazne linki
Zastosowanie przyjaznych linków służy głównie do innych celów (jest to mechanizm optymalizacji witryny, wspomagający pozycjonowanie, jak również jest to przystępniejsza forma adresacji stron www, dzięki czemu adresy są łatwiejsze do zapamiętania i ładniej wyglądają), lecz sprawdza się również jako swojego rodzaju mechanizm obronny. Dzięki nim nazwy zmiennych wejściowych (przekazywanych za pomocą adresu URL) są ukrywane przed użytkownikami, więc również włamywacze ich nie znają, co znacznie zmniejsza ich pole manewru. Co więcej dla każdej strony (również panelu administracyjnego) można ustalić dowolny – nietypowy – adres, co jest znakomitym filtrem dla ogromnej liczby spam botów.
eduCMS w sieci
Internet Tea Group Facebook