דף זה תורגם על ידי Cloud Translation API.

אבטחה לא צריכה להיות מפחידה כל כך!

מריקו קוסקה

מה אתם לדמיין כשמישהו אומר "אבטחה"?

האקרים? התקפות? מגינים? מתכנת לבוש בקפוצ'ון שחור בחדר חשוך?

כשחושבים על המילה "אבטחה", בדרך כלל היא בהקשר של חדשות רעות. לעתים קרובות אתה נתקל בכותרות כמו 'רשת חברתית גדולה שדלפו סיסמאות התחברות' או 'תוקף גנב פרטי כרטיס אשראי מאתר קניות'.

אבל יש להתייחס לאבטחה כחלק חיובי ונחוץ מפיתוח באינטרנט, בדיוק כמו 'חוויית משתמש' או 'נגישות'.

תמונות שליליות וחיוביות של אבטחה — האקר בקפוצ'ון הוא תמונת אבטחה שלילית. צוות שעובד על פרויקט יחד הוא תמונת אבטחה חיובית.

במדריכים הבאים נסביר איך לשמור על אבטחת העסק והתוכן של המשתמשים.

מהי נקודת חולשה באבטחה?

בפיתוח תוכנה, כשאפליקציה לא פועלת בצורה שבה היא נועדה לפעול, היא נקראת 'באג'. לפעמים באג מציג מידע שגוי או קורס בפעולה מסוימת. נקודת חולשה (שלפעמים נקראת באג באבטחה) היא סוג של באג שעלול לשמש להתנהלות פוגעת.

באגים הם נפוצים בפעילויות היומיומיות של מפתחים. כלומר, גם נקודות חולשה מתווספות לעיתים קרובות לאפליקציות. מה שחשוב הוא להיות מודעים לנקודות החולשה הנפוצות כדי לצמצם אותן ככל האפשר. זה בדיוק כמו למזער באגים אחרים על ידי יישום שיטות ודפוסים נפוצים.

רוב שיטות האבטחה הן פשוט תכנות טוב, לדוגמה: - בודקים את הערכים שהוזנו על ידי המשתמש (ולא את הערך null, ולא מחרוזת ריקה, כדי לבדוק את כמות הנתונים). - ודא שמשתמש יחיד לא לגזול יותר מדי זמן. - כדאי לבנות בדיקות יחידה כדי שבאגי אבטחה לא יפגעו בטעות.

מהן אמצעי אבטחה?

שורות ההגנה הראשונות הן תכונות אבטחה כמו HTTPS ו-CORS. (אתה תלמד על ראשי התיבות האלו מאוחר יותר, לכן אל תדאג מהם בינתיים.) לדוגמה, יכול להיות שהצפנת נתונים באמצעות HTTPS לא פותרת את הבעיה, אבל היא מגינה על הנתונים שאתם מעבירים עם משתמשים לגורמים אחרים. (יירוט נתונים היא מתקפה נפוצה).

מה ההשפעה?

כשאפליקציה לא מאובטחת, יכולות להיות לכך השפעות על אנשים שונים.

ההשפעה על משתמשים	ייתכן שמידע רגיש, כמו מידע אישי, יודלף או ייגנב. ניתן לשנות את התוכן. אתר שנפגע עלול להפנות משתמשים לאתר זדוני.
ההשפעה על האפליקציה	האמון של המשתמשים עלול להתאבד. העסק עלול לאבד עקב זמן השבתה או אובדן אמון כתוצאה מפגיעה או מחסור במערכת.
השפעה על מערכות אחרות	אפליקציה שנחשפה יכולה לשמש כדי לתקוף מערכות אחרות, למשל באמצעות התקפת מניעת שירות (DoS) באמצעות בוטנט.

לא רק לכם ולעסק שלכם, חשוב להגן באופן פעיל על האפליקציה, אלא גם להגן עליהם ועל מערכות אחרות מפני התקפות מהאתר שלכם.

סיכום

כל הכבוד! הגעתם לאמצע המבוא. עכשיו אתם יודעים מה ההבדל בין תכונות ונקודות חולשה באבטחה, ואתם יודעים שלא רק אתם אלא כל האחרים נפגעים כשהאפליקציה לא מאובטחת. במדריך הבא נסביר לעומק את סוגי המתקפות, כדי שהאבטחה תהיה פחות מפחידה.