ΚΕΠΛΗΝΕΤ Ηλείας - Κέντρο Πληροφορικής & Νέων Τεχνολογιών

Παγκόσμιος Ιστός

Εγκατάσταση Πιστοποιητικού της Αρχής Πιστοποίησης του ΠΣΔ
Μετρητές επισκέψεων για τους δικτυακούς τόπους που φιλοξενούνται στο ΠΣΔ
Ασφάλεια PHP εφαρμογών
Αλλαγή ρυθμίσεων στη δημοσίευση δυναμικών ιστοσελίδων στο ΠΣΔ
Φιλοξενία σελίδων ASP και Βάση Δεδομένων MS-SQL στο ΠΣΔ

Εγκατάσταση Πιστοποιητικού της Αρχής Πιστοποίησης του ΠΣΔ

Καλούνται οι χρήστες του Πανελλήνιου Σχολικού Δικτύου (ΠΣΔ) να εγκαταστήσουν στον φυλλομετρητή τους (Internet Explorer, Firefox, κ.λπ.) το Πιστοποιητικό της Αρχής Πιστοποίησης του ΠΣΔ. Η εγκατάσταση γίνεται πολύ απλά ακολουθώντας τον σύνδεσμο https://ca.sch.gr/pub/cacert/cacert.crt.

Αυτό είναι απαραίτητο για τη χρήση εφαρμογών που απαιτούν ασφάλεια και κρυπτογράφηση τύπου SSL. Το ΠΣΔ στις υπηρεσίες e-mail και web χρησιμοποιεί πιστοποιητικά τα οποία έχουν εκδοθεί από την πιο πάνω αρχή. Αν δεν έχει εγκατασταθεί το πιστοποιητικό της αρχής τότε ο φυλλομετρητής δεν την αναγνωρίζει, με αποτέλεσμα να εμφανίζονται ενοχλητικά μηνύματα σε σχέση με το πιστοποιητικό ασφαλείας της.

Ιδιαίτερα σημαντική κρίνεται η εγκατάσταση του πιστοποιητικού για τις εφαρμογές συνεργαζόμενων φορέων που χρησιμοποιούν το κεντρικό σύστημα πιστοποίησης χρηστών https://login.sch.gr/cas.

URL: http://www.sch.gr

Μετρητές επισκέψεων για τους δικτυακούς τόπους που φιλοξενούνται στο ΠΣΔ

Είναι γνωστό ότι το Πανελλήνιο Σχολικό Δίκτυο (ΠΣΔ) παρέχει την Υπηρεσία Φιλοξενίας Ιστοσελίδων. Η υπηρεσία αυτή δίνει τη δυνατότητα στις σχολικές και διοικητικές μονάδες, αλλά και στους εκπαιδευτικούς, να δημιουργούν και να ανανεώνουν εύκολα και απλά τους δικτυακούς τόπους τους και εφαρμογές του παγκόσμιου ιστού σε εξυπηρετητές που παρέχει και συντηρεί το ΠΣΔ.

Συνοπτικά, τα χαρακτηριστικά της υπηρεσίας είναι:

Domain Νame (DNS) κάτω από το sch.gr και virtual web host για κάθε μονάδα
Φιλοξενία στατικών σελίδων HTML
Φιλοξενία δυναμικών ιστοσελίδων PHP
Υποστήριξη βάσεων δεδομένων MySQL
Διαχείριση της βάσης δεδομένων από web περιβάλλον μέσα από τη δικτυακή πύλη του ΠΣΔ
Μεγάλος χώρος φιλοξενίας για τους εκπαιδευτικούς (50 ΜΒ) και ακόμα μεγαλύτερος για τις σχολικές και διοικητικές μονάδες (100 ΜΒ)
Εργαλεία αυτόματης κατασκευής ιστοσελίδων
Προβολή των ιστοσελίδων από το ευρετήριο και τον θεματικό κατάλογο του ΠΣΔ

Στα πλαίσια αυτής της υπηρεσίας παρέχεται η δυνατότητα της ενεργοποίησης μετρητών επισκέψεων και της ενσωμάτωσής τους στις ιστοσελίδες των χρηστών.

Για την ενεργοποίηση ενός μετρητή πηγαίνουμε: Στη δικτυακή πύλη του ΠΣΔ (http://www.sch.gr)> mySch (απαιτείται είσοδος στο λογαριασμό της μονάδας ή του εκπαιδευτικού συμπληρώνοντας κατάλληλα το Όνομα Χρήση και τον Κωδικό) > Ο δικτυακός μου τόπος > Μετρητής επισκέψεων. Εκεί μπορούμε να εισάγουμε ένα ή περισσότερα URLs για τα οποία επιθυμούμε την αντιστοίχηση ενός μετρητή.

Υπάρχει δυνατότητα ενεργοποίησης πολλών μετρητών αλλά και ομαδοποίησης πολλών URLs ανά μετρητή. Για κάθε μετρητή παρέχεται αυτόματα ένα μικρό κομμάτι κώδικα (script), το οποίο μπορούμε να αντιγράψουμε και να ενσωματώσουμε στον κώδικα της ιστοσελίδας μας, στο σημείο ακριβώς που θέλουμε να εμφανίζεται ο μετρητής.

URL: http://www.sch.gr

Ασφάλεια PHP εφαρμογών

Η Ομάδα αντιμετώπισης περιστατικών ασφάλειας (http://www.cert.sch.gr) του Πανελλήνιου Σχολικού Δικτύου (Greek School Network Computer Emergency & Responce Team / GSN-CERT) επισημαίνει τους κινδύνους και τα προβλήματα ασφάλειας που προκύπτουν από την απρόσεκτη χρήση εφαρμογών (κυρίως διαχείρισης ιστοσελίδων) οι οποίες έχουν υλοποιηθεί με τη γλώσσα PHP.

Παραδείγματα τέτοιων εφαρμογών είναι: Mambo, PostNuke, PHPNuke, Joomla, WordPress, phpBB, κ.ά.

Οι εφαρμογές αυτές γίνονται συχνά στόχος επίθεσης από κακόβουλους χρήστες, με αποτέλεσμα τη μη εξουσιοδοτημένη πρόσβαση και αλλοίωση του περιεχόμενου του ιστοχώρου που εξυπηρετούν.

Τα προβλήματα ασφάλειας συνήθως δεν οφείλονται στην γλώσσα προγραμματισμού PHP αλλά σε κομμάτια κώδικα που κάνουν κακή χρήση της. Όταν ανακαλύπτονται κενά ασφαλείας σε κάποια δικτυακή εφαρμογή, συνήθως ανακοινώνονται στην επίσημη ιστοσελίδα της ομάδας που την αναπτύσσει αλλά ταυτόχρονα και σε ιστοσελίδες ειδικευμένων ομάδων ασφαλείας όπως για παράδειγμα οι http://nvd.nist.gov και http://www.frsirt.com.

Κατά κανόνα, όταν παραβιάζεται η ασφάλεια κάποιας εφαρμογής PHP, οι επιτιθέμενοι εκμεταλλεύονται ευπάθειες του λογισμικού οι οποίες είναι γνωστές και έχουν αντιμετωπισθεί από τους παρόχους του λογισμικού. Οι διαχειριστές όμως έχουν αμελήσει να ενημερώσουν το λογισμικό τους, με αποτέλεσμα να παραμένουν ευάλωτοι.

Προτεινόμενα μέτρα για την πρόληψη παραβίασης της ασφάλειας των web εφαρμογών που χρησιμοποιούμε είναι:

Όταν επιλέγουμε ποια web εφαρμογή θα χρησιμοποιήσουμε, να λαμβάνουμε υπόψη την υποστήριξη που παρέχει σε θέματα ασφάλειας (έγκαιρη αντιμετώπιση προβλημάτων ασφάλειας, ευκολία εγκατάστασης των σχετικών διορθώσεων).
να παρακολουθούμε ηλεκτρονικές ομάδες συζητήσεων (fora) που ασχολούνται με την ασφάλεια τουλάχιστον για το λογισμικό που χρησιμοποιούμε ώστε να ενημερωνόμαστε έγκαιρα όταν υπάρχουν νέες εκδόσεις που αντιμετωπίζουν ανακοινωμένες ευπάθειες.
να φροντίζουμε για την έγκαιρη ενημέρωση του λογισμικού μας, αμέσως μόλις δημοσιοποιηθεί τρόπος αντιμετώπισης κάποιας ευπάθειας (ενημέρωση ασφάλειας).
να μην ανακοινώνουμε τις ακριβείς εκδόσεις των εφαρμογών που χρησιμοποιούμε γιατί έτσι διευκολύνουμε την αναζήτηση των ευπαθών συστημάτων με χρήση μηχανών αναζήτησης από κακόβουλους χρήστες.
Να ενεργοποιούμε μόνο τα χαρακτηριστικά που είναι απολύτως απαραίτητα στις εφαρμογές αυτές. (π.χ. αν είναι δυνατό να αποφεύγουμε την ενεργοποίηση των ομάδων συζητήσεων (fora - phpBB) στα CMS γιατί συχνά αποτελούν στόχο επίθεσης).

Για περισσότερες πληροφορίες:

URLs:
http://www.cert.sch.gr
http://news.netcraft.com/archives/2006/01/31/php_apps_a_growing_target_for_hackers.html
http://nvd.nist.gov/nvd.cfm
http://www.frsirt.com/english

Αλλαγή ρυθμίσεων στη δημοσίευση δυναμικών ιστοσελίδων στο ΠΣΔ

Η Υπηρεσία Υποστήριξης Χρηστών (helpdesk) του Πανελλήνιου Σχολικού Δικτύου (ΠΣΔ) έχει ενημερώσει για μία αλλαγή που έχει εφαρμοστεί σχετικά με τη δημοσίευση δυναμικών ιστοσελίδων από τους εξυπηρετητές του. Αφορά, δηλαδή, μόνο περιπτώσεις ιστοσελίδων που κάνουν χρήση της PHP και των βάσεων δεδομένων MySQL στο ΠΣΔ.

Το όνομα του εξυπηρετητή βάση δεδομένων (database server) το οποίο πρέπει να χρησιμοποιείται στην PHP για να γίνεται σύνδεση στην MySQL είναι πλέον το userdb και όχι το localhost.

Αυτό μπορεί να το διαπιστώσει κανείς πηγαίνοντας: Στη δικτυακή πύλη του ΠΣΔ (http://www.sch.gr) > mySch (απαιτείται είσοδος στο λογαριασμό της μονάδας ή του εκπαιδευτικού συμπληρώνοντας κατάλληλα το Όνομα Χρήση και τον Κωδικό) > Ο δικτυακός μου τόπος > Στοιχεία Δικτυακού Τόπου και Βάσης Δεδομένων.

Επομένως θα πρέπει οι ρυθμίσεις των εφαρμογών του δικτυακών τόπων που φιλοξενούνται στο ΠΣΔ να κάνουν χρήση του ονόματος userdb. Το όνομα localhost ως εξυπηρετητής βάσης δεδομένων έχει πάψει να ισχύει από τις 17/12/2007.

Η αλλαγή αυτή κρίθηκε απαραίτητη στα πλαίσια της αναβάθμισης της υπηρεσίας και δίνει τη δυνατότητα εγκατάστασης ισχυρότερων εξυπηρετητών βάσεων δεδομένων όταν αυτοί γίνουν διαθέσιμοι.

URL: http://www.sch.gr/helpdesk

Φιλοξενία σελίδων ASP και Βάση Δεδομένων MS-SQL στο ΠΣΔ

Το Πανελλήνιο Σχολικό Δίκτυο (ΠΣΔ) παρέχει πλέον τη δυνατότητα δημιουργίας Δυναμικών Ιστοσελίδων κάνοντας χρήση ASP (Active Server Pages) ή ASP.NET καθώς και νέα βάση δεδομένων που βασίζεται στον Microsoft SQL Server 2000. Η σύνδεση στην βάση δεδομένων Microsoft SQL Server είναι δυνατή τόσο μέσω ASP και ASP.NET όσο και μέσω PHP.

Διαδικασία ενεργοποίησης Βάσης Δεδομένων MS-SQL: Όπως και για την MySQL, πηγαίνουμε: Στη δικτυακή πύλη του ΠΣΔ (http://www.sch.gr) > mySch (απαιτείται είσοδος στο λογαριασμό της μονάδας ή του εκπαιδευτικού συμπληρώνοντας κατάλληλα το Όνομα Χρήση και τον Κωδικό) > Ο δικτυακός μου τόπος > Στοιχεία Δικτυακού Τόπου και Βάσης Δεδομένων.

Στην περίπτωση του Microsoft SQL Server 2000 υπάρχει η δυνατότητα δημιουργίας περισσότερων από μία βάση δεδομένων, με ανώτατο όριο 10 βάσεις.

Επεξεργασία των βάσεων δεδομένων Microsoft SQL Server: Η επεξεργασία των βάσεων μπορεί να γίνει από τη θέση που προαναφέρθηκε στη δικτυακή πύλη του ΠΣΔ. Εναλλακτικά, μπορεί να γίνει από το http://www.<νομός>.sch.gr/phpmsadmin (για το νομό Ηλείας http://www.ilei.sch.gr/phpmsadmin).

Οδηγίες: Για αναζήτηση πληροφοριών σχετικών με τη φιλοξενία ιστοσελίδων πηγαίνουμε: Στη δικτυακή πύλη του ΠΣΔ > Πανελλήνιο Σχολικό Δίκτυο > Για τους χρήστες μας > Οδηγίες.

Εκεί περιγράφεται και ο τρόπος σύνδεσης στη νέα βάση δεδομένων μέσω ASP, ASP.NET και PHP.

Υποστήριξη: Για προτάσεις, παρατηρήσεις ή απορίες μπορείτε να επικοινωνήσετε με την Υπηρεσία Υποστήριξης Ιστοσελίδων του ΠΣΔ ανοίγοντας σχετικό δελτίο στο Πληροφοριακό Σύστημα http://helpdesk.sch.gr

Στατικές και δυναμικές ιστοσελίδες

Οι στατικές ιστοσελίδες είναι ηλεκτρονικά έγγραφα κατάλληλα κυρίως για την δημιουργία «μόνιμων/στατικών παρουσιάσεων», όπου δεν υπάρχει η ανάγκη να τροποποιείται συχνά το περιεχόμενό τους. Το κύριο μειονέκτημα είναι ότι δεν είναι πρακτική η χρήση τους όταν χρειάζεται το περιεχόμενο της ιστοσελίδας να αλλάζει συχνά. Αυτό συμβαίνει γιατί για να τροποποιηθεί μια στατική ιστοσελίδα, πρέπει να γίνουν επεμβάσεις απευθείας πάνω στην ιστοσελίδα με κάποιο κατάλληλο πρόγραμμα.

Οι δυναμικές ιστοσελίδες, μπορεί στην εμφάνιση, σε πολλές περιπτώσεις, να μην έχουν μεγάλη διαφορά με τις στατικές, όμως οι δυνατότητές τους είναι πολύ περισσότερες, αφού ουσιαστικά πρόκειται για εφαρμογές και όχι για απλά ηλεκτρονικά έγγραφα.

Συνήθως, οι δυναμικές ιστοσελίδες, χρησιμοποιούν κάποια βάση δεδομένων (database), όπου αποθηκεύουν πληροφορίες και απ’ όπου αντλούν το περιεχόμενό τους, ανάλογα με το τι ζητάει ο χρήστης/επισκέπτης. Η χρήση των βάσεων δεδομένων, είναι αυτή που επιτρέπει την εύκολη προσθαφαίρεση περιεχομένου στις δυναμικές ιστοσελίδες, καθώς δεν απαιτείται να επεξεργάζεται κανείς κάθε φορά την ίδια την ιστοσελίδα, αλλά απλά να διαχειρίζεται έμμεσα το περιεχόμενο στην βάση δεδομένων μέσω κάποιου κατάλληλου μηχανισμού.