Alkuperäisen artikkelin kirjoittanut Alex Andreae, artikkeli löytyy osoitteesta: http://magazine.joomla.org/issues/issue-jan-2013/item/1023-how-ssl-can-secure-and-add-features-to-your-joomla-site

Miten SSL voi turvata ja lisätä ominaisuuksia Joomla-sivustoosi

Joomla ottaa turvallisuustekijät tosissaan ja on erittäin ennaltaehkäisevä mahdollisten ongelmien estämisessä. Se ei kuitenkaan tarkoita, etteikö sinulla olisi enemmänkin keinoja käytössäsi sivustosi turvaamiseen. SSL:llä voit ottaa käyttöön muutamia ominaisuuksia, jotka ovat jo valmiiksi Joomlassa suojataksesi sivustoasi joiltakin tavoilta hyväksikäyttää sivustoasi ja sen käyttäjiä. Saattaa jopa olla, että SSL:ää voi käyttää joidenkin asioiden tekoon, joista et ole kuullutkaan.

Miksi sinun kannattaisi käyttää SSL:ää sivustollasi


SSL (tai TSL, kuten sen uudempaa versiota kutsutaan) on se pieni lukon kuva, joka on alkanut näkyä sivustoilla Netscape 2.0:n otettua se käyttöön 1996. Vaikka usein mielletään, että SSL on oikeasti tarpeellinen vain elektronisessa kaupankäynnissä, rahataloudellisissa sivustoissa tai muilla vastaavilla arkaluontoisilla sivuilla, totuus on että jokainen sivusto voi hyötyä sen tarjoamasta ylimääräisestä turvasta. Et edes tarvitse siihen ylimääräisiä lisäosia, Joomlaan on sisään rakennettu ominaisuuksia, joita hyödyntämällä voit turvata sekä itsesi, että käyttäjäsi.

Mutta eihän minulla ole mitään erityistä suojeltavaa


Kyllä sinulla on! Yksi jokaisen sivuston arvokkaimmista asioista on sen hallinnoimiseen käytetty käyttäjätunnus ja salasana. Vaikkei sivustoosi kirjautuisikaan yleisiä käyttäjiä, sinä itse ainakin kirjaudut hallinnointipuolelle. Jos et käytä SSL:ää, voivat muut tekeytyä sinuksi ja varastaa ”linnan avaimet”.

Mikä on uhan alla?

Milloin tahansa käyttäjä kirjautuu Joomla-sivustoosi, heidän käyttäjänimensä ja salasanansa lähetetään verkon kautta palvelimellesi. Tämä on se ilmiselvä osa. Mikä ei olekaan niin ilmiselvää on, että se käyttäjänimi ja salasana voidaan napata lennosta koska vain matkalla käyttäjän selaimen, langattoman reitittimen, palveluntarjoajan ja itse serverin välillä. Vaikka pienempien sivustojen todennäköisyys olla tämän toiminnan kohteena on varsin pieni, saattaa niin silti käydä. Todennäköisempää on, että langattoman teknologian yleistyessä ravintoloissa ja kahviloissa nuo tunnukset voidaan kaapata ilmasta jo ennen, kuin ne menevät nettiin.

Miten ihmiset voivat hyväksikäyttää tunnuksiani?


Jos olet ylläpitäjä, he voivat tehdä mitä tahansa haluavat. Lisäksi käyttäjäpuolella saman salasanan ylikäyttö on erittäin yleinen ongelma. Vaikket pitäisikään sivustosi tunnuksia erityisen arvokkaina, saattaa joillakin käyttäjistäsi olla sama käyttäjätunnus ja salasana esimerkiksi jonkin suuren vähittäismyyntisivustolla, ylläpitosivustolla tai jonkin muun vastaavan korkean profiilin sivustolla.

Miten SSL voi estää tämän?

Se on itse asiassa uskomattoman yksinkertaista. Joomlan kirjautumismoduulissa on asetus ”Kryptattu kirjautumislomake”, oletuksena pois päältä. Kun pistät sen päälle, sivustosi pakottaa käyttäjän selaimen kryptaamaan heidän käyttäjänimensä ja salasanansa, ennen kuin tiedot lähetetään netin yli sinun palvelimellesi.

Istunnon evästeet ovat myös haavoittuvia

Kun käyttäjä kirjautuu Joomla-sivustosi käyttäjä- tai hallinnointipuolelle, luodaan erityinen istuntoeväste selaimeen tämän käyttäjän tunnistamiseksi. Tuo eväste lähetetään jokaisen sivun lataamisen yhteydessä, jotta Joomla osaisi tunnistaa käyttäjän, joka sivua operoi. Eväste antaa heille oikeudet tehdä sen, mitä heidän käyttämänsä tunnus sallii.
Eväste on kyllä pienempi uhka, koska se ennen pitkää vanhenee, mutta se on silti paikkaamisen arvoinen asia sivustosta riippuen. Yksinkertaisesti aktivoimalla SSL koko sivustosi laajuudelle kryptaa myös evästeet. Tämä osa-alue on myös helposti hoidettavissa Joomlan Sivuston Asetuksien kautta vaihtamalla arvo ”Pakota SSL” muodosta ”Ei arvoa” muotoon ”Vain ylläpitäjät” tai ”Koko sivusto”. Jos sivustosi on SSL-vahvistettu, on aivan turhaa jättää arvo muotoon ”Ei arvoa”, sinun tulisi vähintään valita ”Vain ylläpitäjät”, joka estää hallintapuolen tietojen evästeen kaappaamisen.

Onko se edes oikeasti mahdollista?


Vuonna 2010 Firefoxille julkaistiin Firesheep-niminen liitännäinen, joka osaa itsenäisesti tutkia ympäröivää langatonta verkkoa ja noukkia sieltä kaikki istuntoevästeet suosituille sivustoille, kuten Facebook ja Google. Vaikkei suoraan Joomla-sivustojen evästeitä poimivaa liitännäistä olekaan, on mahdollisuus sille kuitenkin olemassa.

SSL:n haittapuolet

SSL:n suurimmat haitat ovat todennäköisesti hinta ja suorituskyky. Riippuen palveluntarjoajasi kanssa tehdystä sopimuksesta, vaihtelee SSL-varmenteen hinta ilmaisesta jopa 150 euroon vuodessa. Se riippuu täysin siitä tarjoaako palveluntarjoajasi vapaan jaetun SSL-varmenteen, antavatko he sinun asentaa kolmannen osapuolen toimittaman varmenteen( 10-20 euroa), vai vaaditaanko sinut ostamaan varmenne heiltä erikseen jopa 150 euron hintaan.

Jos saat varmenteen sivustollesi sopivaan hintaan, on ainoa este sivustosi lievä hidastuminen varmenteen takia. Koska kuvat, Javascript, CSS-tiedostot ja muu sisältö on kryptattua, käyttäjän selain ei voi ottaa näitä tietoja välimuistiin. Se johtaa useampaan tiedusteluun per sivu. Vaikka tämän vaikutuksen pitäisi olla minimaalinen, on se silti huomioonotettava asia riippuen palveluntarjoajasi sopimuksesta ja sivustosi saaman liikenteen määrästä.

Onko SSL:llä muita ominaisuuksia tarjottavaksi?

Kyllä! Tämä artikkeli luotiin alun perin sen takia, että foorumeillamme useat käyttäjät tiedustelivat oliko SSL:lle muita käyttötapoja. Joomla! Facebook integraatioliitännäisemme, JFBConnect, vaatii SSL suojauksen Facebook-kutsuja lähettäessä ja sivujen välilehtiä integroidessa näyttääkseen sivustosi osia Facebook-sivuillasi. Koska suurin osa sivustoista ei SSL.ää käytä, halusimme tuoda esiin syitä, miksi on hyödyllistä omata SSL-varmenne muunkin, kuin pelkän parannetun Facebook-integraation takia.

SSL:n käyttöön on paljon muitakin hyviä syitä, joista et ollut tietoinen, mutta joiden mahdollisuuksia alat nyt toivottavasti ymmärtämään. Tiedätkö muita keinoja, joilla SSL voi parantaa ominaisuuksia, toimivuutta tai sivuston yleistä turvallisuutta? Jos tiedät, jaa ne kanssamme kommenteissa.