වර්තමානයේ වෙබ් අඩවි කලාව නැතුවම බැරි දෙයක් බවට පත්වී ඇත. මීට හේතුව තාක්ෂණයත් සමඟ අන්තර්ජාලයේ සැරිසරන පුද්ගලයන්ගේ ප්රමාණය ඉහළ අගයක් ගන්නා බැවින් සහ තොරතුරු දත්ත හුවමාරුව ඉතා ශීඝ්රයෙන් එහා මෙහා ගමන් කරන බැවිනි. මේ හේතුව නිසා දිනෙන් දින වෙබ් අඩවි සංඛ්යාව ඉහළ යන අතර මේ ලිපිය ලියන මේ මොහොත වෙන විට ලෝකයේ වෙබ් අඩවි සංඛ්යාව 1,081,119,093ක් පමණ වේ මෙය කොපමණ අගයක් දැයි ඔබට වැටහෙනවා ඇත. තාක්ෂණය මෙසේ දිනෙන් දින දියුණුවෙන විට එවා බිඳ හෙළීම, කඩාකප්පල්කාරී (Hack) කිරීමට වැර දරන පිරිසකුත් බිහි වීම ස්වභාවයෙන්ම සිදු වේ. පරිගණක ලෝකයේ මෙවන් පුද්ගලයන්ට හැකර්ස් Hackers යැයි පවසයි . මේ වන විට ලෝකයේ සමස්ත වෙබ් අඩවි සංඛ්යාවෙන් වෙබ් අඩවි 32000ක් හැක් කිරීමට නොඑසේ නම් බිඳ හෙළීමට භාජනය වී ඇත.
වෙබ් අඩවියක් හැක් කරන්නාවූ හැකර්ස්ලාගේ අරමුණු ප්රධාන වශයෙන් කණ්ඩ 4කට වෙන් කර දැක්විය හැකිය.
1. විනෝදාංශයක් ලෙස වෙබ් අඩවි හැක් (Hack) කිරීම. මේ කාණ්ඩයේ පුද්ගලයන් තම මිතුරන් ඉදිරියේ වීරත්වය විදහාපෑමට හුදෙක් සමාජයේ කැපී පෙනෙන්නකු වීම උදෙසා වෙබ් අඩවි හැක් කිරීමට පෙලඹී ඇත.
2. සොරකම් කිරීම සදහා හැක් කිරීම. මෙහිදී ඔවුන් බලාපොරොත්තු වන්නේ වෙබ් අඩවියක ගබඩා වී ඇති වැදගත් දත්ත ලේඛන සොරාගැනීම හෝ මුදල් සොරාගැනීමය.
3. කඩාකප්පල්කාරී ක්රියාවක් වෙනුවෙන් හැක් කිරීම. මෙහිදී යම් අයතනයක පුද්ගලයකුගේ දියුණුව උදෙසා බලපාන වෙබ් අඩවිය අක්රීය කිරීම හෝ එහි ඇති දත්ත වෙනස් කිරීම මගින් සමාජයේ පුද්ගලයන්ගේ හාස්යයට ලක් කිරීම මෙමගින් බලාපොරොත්තු වේ.
4. ආචාරශීලී ලෙස වෙබ් අඩවියක අඩුපාඩු සොයා බැලීම උදෙසා හැක් කිරීම. මෙහි ඉංග්රීසි වචනය නම් Ethical Hacking ලෙස දැක්විය හැකිය. මෙය බොහෝ පරිගණක ආයතන මගින් සිදු කරනු ලබයි. එය සිදු කරන්නේ තම ආයතනයේ වෙබ් අඩවියේ ආරක්ෂාව තර කරගැනීම උදෙසාය. මෙමගින් අනතුරට භාජනය විය හැකි වෙබ් අඩවියට පිවිසිය හැකි මාර්ග සොයාබැලීමක් සිදු කරනු ලබයි.
5. දේශපාලනික වෙබ් අඩවි අඩපණ කිරීම. ජනප්රිය දේශපාලනික චරිත ඉලක්ක කර ඔවුන්ගේ වෙබ් අඩවි අඩපණ කිරීම. මෙය රටවල් අනුව කේන්ද්රගතව ශීඝ්රයෙන් ව්යාප්තව යන ක්රියාවලියකි. මොවුන්ගේ අරමුණු රටවල් අනුව වෙනස් වේ.
6. ස්ක්රිප්ට් කිඩී Script kiddieHacking Tool එකක් අන්තර්ජාලයෙන් ගෙන හැක් කිරීම. මොවුන්ට හැක් කිරීම ගැන දැනුමක් නැති අතර මොවුන්ගේ මෙම ක්රියාවලිය සොයාගැනීමට තරමක අපහසුවක් ඇත.
එසේ නම් ඔබ කෙසේ ඔබේ වෙබ් අඩවිය අනතුරට ලක් වීම වළක්වාගත යුතුදැයි බලමු.
1. මෘදුකාංග යාවත් කාලීන කිරීම. (Keep software up to date) නිතරම ඔබේ වෙබ් අඩවිය තුළ ඇති මෘදුකාංග යාවත්කාලීන දැයි ඔබේ වෙබ් අඩවි නිර්මාණකරුවන් හා සේවා සපයන්නන් මඟින් සොයා බලන්න.
2. SQL injection හරහා වෙබ් අඩවියට ඇතුළුවීම වළකන්න. මේ සඳහා ඔබේ වෙබ් අඩවි නිර්මාණකරුවාගේ සහාය පතන්න. මෙහිදී සිදු වන්නේ අදාළ කේත ඇතුළු කිරීම මගින් ඔබේ වෙබ් අඩවියේ දත්ත ගබඩාවට හානි සිදුකිරීමය.
3. XSS. Cross site scripting මගින් ඔබේ වෙබ් අඩවිය පරිශීලකයන් නොමග යවයි. ඔබේ අඩවියේ ඇති කේත වෙනස් කිරීමට ඉඩ නොදීමට වග බලාගත යුතුය.
4. දෝෂ පණිවිඩ Error message. ඔබේ වෙබ් අඩවියේ පරිශීලකයන් වැරදි පරිශීලක නාම User Name මුරපද Password ඇතුළු කළ විට එහි ලබාදෙන දෝෂ පණිවිඩ පෙන්වා මුරපද ග්රහණයකරගෙන වෙබ් අඩවියට ඇතුළු වීමට ඉඩ ඇත. මෙය අපි brute force attack ලෙස හඳුන්වමු.
5. සේවරය වලංගු කිරීම Server side validation/form validation. ඔබේ වෙබ් අඩවිය ඇති සේවරය හා ඔබේ වෙබ් අඩවිය නරඹන බ්රවුසරය පරීක්ෂා කොට අදාළ වලංගු කිරීම් සිදු කළ යුතුය. මෙය ඉතා ගැඹුරින් පලපුරුදු ශිල්පියකුගේ සහයෙන් සිදු කළ යුතුය.
6. මුරපද Passwords ඇතුළත් කිරීම. මුරපද දැමීමේදී වෙබ් අඩවිවල භාවිත කරන ක්රම කිහිපයක් ඇත. සංකීර්ණ මුරපද භාවිත කිරීම මෙන්ම මුරපද SHA වැනි hashing algorithm භාවිත කර encrypt කළ යුතුය.
7. මුරපද නිරන්තරයෙන් වෙනස් කරන්න. නිතර මුරපද වෙනස් කිරීම මගින් වෙබ් අඩවියේ ආරක්ෂාව තහවුරු වන එක් ක්රමයකි.
8. Multiple Authentication - මල්ටිපල් ඔතන්ටිකේෂන් ලබාදෙන්න.Multiple Authentication යනු සරලව කිවහොත් ඔබේ විද්යුත් තැපෑලට, ඔබේ ජංගම දුරකතනයට කේතයක් එවීම සහ එම කේතය අදාළ වෙබ් අඩවියට ලබාදීම මගින් ඔබට වෙබ් අඩවිය තුළට පිවිසිය හැකි වීමයි.
9. වෙබ් අඩවියට ගොනු ඇතුළත් කිරීම File uploads. වෙබ් අඩවිය පරීශීලකයන්ට ගොනු වෙබ් අඩවියට එක්කරන්නට ඉඩදීම දැඩි ආරක්ෂාවක් සහිතව සිදු කිරීමට ලබාදිය යුතුය. එය ඉතා අවදානම්කාරී කාර්යයකි. මෙහිදී නිවැරදි කේත භාවිතයට ලබාදීම ඉතා වැදගත්ය.
10. SSL.SSL යනු අන්තර්ජාලයේ භාවිතා කරනු ලබන ප්රෝටකෝලයකි. එය සහතික ලත් එක් වෙබ් අඩවියකින් තවත් වෙබ් අඩවියකට තමන්ගේ පෞද්ගලික තොරතුරු හුවමාරුවට භාවිත කරන මාධ්යයකි. මේ තොරතුරු ඩැහැගැනීමට පහරදෙන්නකුට ඉව ඇල්ලිය හැකිය. මේ නිසා භාවිත කරනු ලබන සන්නිවේදන මාධ්ය ඉතා ආරක්ෂාකාරී එකක් විය යුතුය.
11. වෙබ් අඩවි ආර්ක්ෂක අම්පන්න Website security tools භාවිතය.Netsparker (Free community edition and trial version available). SQL injection and XSS පරීක්ෂණ සිදු කිරීමට උපකාරී වේ. OpenVAS – Open Source නොමිලේ ලබාගත හැකි මෘදුකාංග පරීක්ෂණ සදහා භාවිත කරයි. මෙවැනි මෘදුකාංග ඔබට අන්තර්ජාලය පිරික්සීමෙන් පහසුවෙන් සොයාගත හැකි අතර ඒවා සුරක්ෂිතදැයි තහවුරු කරගෙන භාවිත කරන්නට වගබලා ගන්න.
12. ආරක්ෂිත ගෙවීම් ක්රම භාවිතය Payment Gateways. මේ සඳහා රජයේ ලියාපදිංචි බැංකුවකින් අදාළ සේවාව ලබාගත හැකිය. ශ්රී ලංකාවේ දී නම් ඔබට බැංකු කිහිපයකින් මෙම සේවාව ලබාගැනීම පහසුකම් සලසා ඇත. එමගින් ඔබේ වෙබ් අඩවියේ සිදු කරන ගෙවීම් සහතික වනවා මෙන්ම ඒ සඳහා ආරක්ෂාවද සැපයේ.
පුලස්ති වන්නිආරච්චි
අන්තර්ජාල සෙවුම් යන්ත්ර
ප්රශස්තිකරණ ඉංජිනේරු
