Bezpieczeństwo nie powinno być takie straszne!

Mariko Kosaka
X

Co wyobrażasz sobie, gdy ktoś mówi „bezpieczeństwo”?

Hakerzy? Ataki? Zabezpieczenia? Programista w czarnej bluzie z kapturem w ciemnym pokoju?

Słowo „bezpieczeństwo” kojarzy się zwykle z kontekstem złych wiadomości. Często można natknąć się na nagłówki w stylu „Duża sieć społecznościowa wyciekła hasła do logowania” lub „Osoba atakująca ukradła dane karty kredytowej z witryny sklepu”.

Bezpieczeństwo to jednak coś, co należy traktować jako pozytywny i niezbędny element tworzenia stron internetowych, tak jak „wrażenia użytkownika” czy „dostępność”.

Negatywne i pozytywne obrazy zabezpieczeń
Zdjęcie hakera w kapturze to negatywny obraz bezpieczeństwa. Zespół pracujący nad projektem to pozytywny obraz bezpieczeństwa.

Z kolejnych kilku przewodników dowiesz się, jak chronić dane firmy i użytkowników.

Czym jest luka w zabezpieczeniach?

W rozwoju oprogramowania, gdy aplikacja nie działa zgodnie z oczekiwaniami, mówimy o „błędzie”. Czasami błąd powoduje wyświetlanie nieprawidłowych informacji lub zawieszanie się aplikacji podczas wykonywania określonej czynności. Luka w zabezpieczeniach (czasami nazywana błędem związanym z zabezpieczeniami) to rodzaj błędu, który może być wykorzystany do nadużyć.

Błędy są częste w codziennej pracy programisty. Oznacza to, że luki w zabezpieczeniach są często wprowadzane do aplikacji. Ważne jest, aby znać typowe luki w zabezpieczeniach, aby móc je w jak największym stopniu ograniczać. Jest to podobne do minimalizowania innych błędów przez stosowanie typowych wzorców i technik.

Większość technik bezpieczeństwa to po prostu dobre programowanie, na przykład: - sprawdzanie wartości wpisanych przez użytkownika (nie null, nie pusty ciąg znaków, sprawdzanie ilości danych). – Upewnij się, że pojedynczy użytkownik nie może zajmować zbyt wiele czasu. – Utwórz testy jednostkowe, aby uniknąć przypadkowego wprowadzenia błędów związanych z bezpieczeństwem.

Co to są funkcje zabezpieczeń?

Pierwszą linią obrony są funkcje zabezpieczeń, takie jak HTTPS i CORS. (więcej informacji o tych akronimiach znajdziesz później, więc na razie nie musisz się nimi przejmować). Na przykład szyfrowanie danych za pomocą protokołu HTTPS może nie naprawić błędu, ale chroni dane, które wymieniasz z użytkownikami z innymi osobami. Przechwytywanie danych to powszechny atak.

Jakie są konsekwencje?

Jeśli aplikacja nie jest bezpieczna, może to wpłynąć na różne osoby.

Wpływ na użytkowników
  • Wrażliwe informacje, takie jak dane osobowe, mogą zostać ujawnione lub skradzione.
  • Treści mogły zostać zmanipulowane. Strony z modyfikacjami mogą przekierowywać użytkowników do witryn zawierających złośliwe oprogramowanie.
Wpływ na aplikację
  • Może to spowodować utratę zaufania użytkowników.
  • Firma może stracić klientów z powodu przestoju lub utraty zaufania w wyniku manipulacji lub awarii systemu.
Wpływ na inne systemy
  • Przejęta aplikacja może być używana do atakowania innych systemów, na przykład za pomocą ataku typu DoS z użyciem botnetu.

Aktywna ochrona aplikacji jest kluczowa nie tylko dla Ciebie i Twojej firmy, ale też dla użytkowników, ponieważ chroni ich i inne systemy przed atakami z Twojej witryny.

Podsumowanie

Gratulacje! Jesteś w połowie tego wprowadzenia. Teraz już wiesz, czym różnią się luki w zabezpieczeniach od funkcji, i rozumiesz, że nie tylko Ty, ale i inni użytkownicy są narażeni na zagrożenia, gdy Twoja aplikacja nie jest bezpieczna. Kolejny przewodnik szczegółowo omawia różne typy ataków, dzięki czemu bezpieczeństwo stanie się jeszcze mniej przerażające.