Žiniatinklio turinio valdymo sistemų saugumo tyrimas / Web content management systems security research

Radzevičius, Vitalius

05 November 2013

Internete galima rasti nemažai svetainių, kurios yra sukurtos naudojantis viena iš daugelio šiuo metu prieinamų žiniatinklio turinio valdymo sistemų (TVS). TVS paprastai nereikalauja išsamių techninių žinių, jos ir kuriamos su idėja, kad bet kuris naudotojas galėtų nesunkiai sukurti ir paskelbti savo interneto svetainę. Deja, eiliniai TVS naudotojai dažnai turi nedaug žinių informacijos saugumo srityje. Turinio valdymo sistemų pagrindu sukurtoms svetainėms, kaip ir nuo pagrindų suprogramuotiems tinklalapiams, kyla panašios bendrosios su saugumu susiję grėsmės. Tačiau be bendrųjų grėsmių dar egzistuoja ir specifinės, kurias įprastinės saugumo tikrinimo-vertinimo priemonės sunkiai aptinka. Šios problemos dažnai būna konfigūracijos lygmenyje, todėl iš esmės kiekvienai turinio valdymo sistemai ir jos versijai reikia individualiai pritaikyto saugumo vertinimo taisyklių rinkinio. Šiame darbe buvo sudarytas specifinių TVS saugumo kriterijų sąrašas, pateiktas šių kriterijų atitikimą vertinančios programos modelis, suprogramuoti du kriterijų vertinimo algoritmai, įvertinantys dviejų populiarių žiniatinklio TVS (Drupal bei Joomla) reikalavimų atitikimą, bei atliktas eksperimentinis tyrimas su minėtomis žiniatinklio turinio valdymo sistemomis. Tyrimas atliktas su ką tik įdiegtomis turinio valdymo sistemomis ir pakartotas po sistemų parametrų konfigūravimo. Taip pat įvertintos dvi internetu prieinamos ir lankomos Drupal TVS pagrindu sukurtos svetainės. / There are quite a few websites online that use one of many currently available web content management systems (CMS). CMS usually do not require in-depth technological knowledge. In fact, they are designed with an idea that any user can create and publish their website. Unfortunately, ordinary CMS users often lack knowledge in security area. CMS-based websites, same as those that are created from scratch, experience similar common security threats. In addition to common security threats, there are some CMS-specific ones that are hardly discovered by standard security assessment programs, generally called web vulnerability scanners. Security problems often lie in configuration level and, in order to discover them, CMS-specific security checking rules are required. In this paper, CMS-specific security requirements list was compiled and model of the programs that checks if CMS complies with requirements was provided. Then two algorithms were programmed that helped assess how Joomla and Drupal web content management systems comply with security requirements. Experimental study was carried out with two aforementioned content management systems. The study was carried out with the freshly installed content management systems, and then repeated after system configuration parameters adjustment. Finally, two Drupal CMS-based and online-accessible websites were assessed.

Informatics Engineering

Žiniatinklio TVS

Saugumo reikalavimai

Saugumo tikrinimo programa

Web CMS

Security requirements

Security assessment program

Acessibilidade nos portais das universidades federais: uma análise a partir do uso de Sistemas de Gerenciamento de Conteúdo

TAVARES, Eliara Maria

29 September 2016

A Lei nº 13.146 - Lei Brasileira de Inclusão da Pessoa com Deficiência (Estatuto da Pessoa com Deficiência) – que passou a vigorar a partir de janeiro de 2016 reforça a obrigatoriedade de acessibilidade nos websites mantidos pelo governo, estabelecida há mais de dez anos através do Decreto nº 5296/2004. Através do e-Gov, o governo tem empreendido várias ações no sentido de impulsionar o desenvolvimento de websites que atendam os mais diversos cidadãos, permitindo assim, o acesso às informações e serviços públicos com igualdade e sem discriminação. Dentre essas ações destacam-se as recomendações do Modelo de Acessibilidade em Governo Eletrônico (e-MAG) e o projeto Padrões Web em Governo Eletrônico (e-PWG). Neste contexto, os portais web das Universidade Federais têm grande responsabilidade de tornar acessível o seu conteúdo e informações a toda a comunidade. Este trabalho apresenta os resultados da avaliação da acessibilidade das páginas iniciais das 63 Universidades Federais Brasileiras. Como o uso de Sistemas de Gerenciamento de Conteúdo (CMS, do inglês Content Management System) para a construção de websites governamentais é uma recomendação destacada pelo e-PWG, esta pesquisa buscou ainda investigar se estas Universidades estão adotando esta tecnologia. Diante desses resultados, o objetivo foi identificar se o uso de CMS pode contribuir ou não com a criação de páginas mais acessíveis, destacando os principais problemas de acessibilidade encontrados por essas páginas. / The Law nº. 13,146 - Brazilian Law of Inclusion of People with Disabilities (Person Statute with Disabilities) - which came into effect from January 2016 reinforces the requirement of accessibility on websites maintained by the government, established for over ten years through the Decree No. 5296/2004. Through the e-GOV, the government has undertaken several actions to boost the development of websites that attend the most diverse citizens, thus allowing access to information and public services equally and without discrimination. Among these actions highlight the Accessibility Model recommendations on Electronic Government (e-MAG) and the Web Standards in Electronic Government project (e-PWG). In this context, the web portals of the Federal University have a great responsibility to make available the content and information to the entire community. This study presents the results of the evaluation of the accessibility of homepages of the 63 Brazilian Federal Universities. As the use of Content Management Systems (CMS) for the construction of government websites is a recommendation highlighted by e-PWG, this research has also sought to investigate whether these universities are adopting this technology. Given these results, the goal was to identify the use of CMS can contribute or not to create more accessible pages, highlighting the major accessibility problems encountered by these pages.

Acessibilidade Web. CMS. ASES-Web.

Web Accessibility. CMS. ASES-Web.

ADMINISTRACAO::ADMINISTRACAO PUBLICA