Asia | Kommentti |
Useita turvallisuustekniikoita | Ohjelman turvallisuus perustuu useisiin www-palvelimella, ohjelmassa ja käyttäjän omalla tietokoneella oleviin turvallisuustekniikoihin. Jos jokin turvallisuustekniikka pettää, suojaa toinen. |
Hajautettu asennus | Ohjelma asennetaan yrityksen omalle www-palvelimelle tai www-hotellipalveluun täysin erilleen yrityksen muista tietokoneista. Hajautus estää tietomurron yrityksen tietokoneille ja vähentää riskiä tietojen täydellisestä tuhoutumisesta. |
Sessiotunnisteet | Ohjelma käyttää PHP:n omaa sessiohallintaa. Yleensä PHP säilyttää sessiotunnistetta www-selaimen piparissa ja se tuhoutuu, kun asiakas sulkee selaimen. Sessiotunnistetta voitaisiin kuljettaa myös www-selaimen osoiterivillä, mutta se ei olisi täydellisen turvallista. |
Käyttäjätunnuksilla rajatut toimialueet | Jokainen käyttäjätunnus, vahvistustunnus tai koodi toimii vain sillä toimialueella, johon se on suunniteltu. |
Salasanoja ei tallenneta | Tietokantaan tallennetaan yhdensuuntaisella salausalgoritmilla salasanasta laskettu tarkiste. Tarkiste ei ole julkinen. Sen vuoksi krakkeri ei pysty laskemaan salasanaa omalla tietokoneella ajan kanssa, vaikka käytetty salausalgoritmi olisikin tiedossa. |
Turvatarkisteet | Ohjelma käyttää turvatarkistelaskentaa kriittisissä kohdissa. |
Luottokortin numeroita ei tallenneta | Ohjelma ei tallenna, käsittele tai välitä luottokortin numeroita. Se ei ole tarpeen, sillä ohjelman monipuolisimmat julkaisut tukevat Luottokunnan Digitaalista maksupalvelua. |
Ulkoiset maksujärjestelmät | Ohjelman monipuolisimmat julkaisut tukevat useita ulkoisia maksujärjestelmiä. Nämä järjestelmät ovat huipputurvallisia, mm. Luottokunnan Digitaalinen maksupalvelu täyttää PCI DSS -tietoturvastandardin vaatimukset. |
SSL-salaus | Ohjelma toimii sekä tavallisella, että SSL-salatulla www-palvelimella, että myös hajautetusti molemmilla. Suosittelemme, että ohjelman tilaus- ja hallintaosat asennettaisiin SSL-salatulle www-palvelimelle, koska ne käsittelevät asiakkaiden yhteystietoja. SSL-salauksen tärkeyttä on jonkin verran ylikorostettu mediassa, koska se ei takaa turvallisuutta. |
Tietokannan käyttäjätunnukset | Ohjelma tukee kahta tietokannan käyttäjätunnusta (vapaavalintainen), joista toisella on vain lukuoikeudet ja toisella sekä luku- että kirjoitusoikeudet. |
JavaScript ja pop-up-ikkunat | Ohjelma ei vaadi toimiakseen JavaScript-tukea eikä pop-up-ikkunoita. Tämän johdosta www-selaimen JavaScript- ja pop-up-ikkunatuki voidaan kytkeä pois päältä, mikä parantaa turvallisuutta yleisesti ottaen. |
Varmuuskopiointi | Ohjelmasta ja sen tietokannasta voi ottaa varmuuskopion. Tarvittaessa ohjelma ja varmuuskopio voidaan siirtää SFTP-ohjelmalla toiselle www-palvelimelle. |
Brute Force Attack | Brute force -hyökkäykset ovat tuloksettomia, paitsi jos käyttäjätunnus ja salasana ovat helposti arvattavia. |
Cross Site Scripting | Cross Site Scripting (XXS) -hyökkäykset eivät ole mahdollisia tai ne on estetty. |
SQL Injection | Ohjelma muuttaa kaikki tietokantakyselyihin sisällytetyt muuttujat turvalliseen muotoon, mikä estää tietokannan tartunnan. |
SMTP Header Injection | Sähköpostiviestien otsikkotietojen väärentäminen käyttäen hyväksi SMTP-standardissa olevia heikkouksia on estetty. |
Register Globals On/Off | Kun PHP:n Register Globals on Off, ei www-selaimen osoiterivin muuttujia rekisteröidä (suositus, oletusarvo). Molempia tiloja voidaan käyttää turvallisesti. |
Transitional Session ID On/Off | Kun PHP:n Transitional Session ID on Off, ei sessiotunnistetta kuljeteta www-selaimen osoiterivillä (suositus, oletusarvo). Molempia tiloja voidaan käyttää turvallisesti, joskin On-tilan käyttöä tulisi välttää sen seurannaisvaikutusten vuoksi. |
Safe Mode On/Off | Kun PHP:n Safe Mode on On, on tiettyjä www-palvelimen toimintoja rajoitettu (suositus, oletusarvo). Molempia tiloja voidaan käyttää turvallisesti. |
Error Reporting | Ohjelma rajoittaa PHP:n näyttämiä virheilmoituksia kriittisissä kohdissa. |
Standardi HTML 4.01 ja CSS2 | Ohjelma tuottaa standardin mukaista HTML- ja CSS2-lähdekoodia, mikä osaltaan parantaa turvallisuutta. |
PHP 5 ja MySQL 5 -yhteensopivuus | Ohjelma on yhteensopiva uusimpien PHP- ja MySQL-versioiden kanssa, mikä osaltaan parantaa turvallisuutta. |
