Ta strona została przetłumaczona przez Cloud Translation API.

Bezpieczeństwo nie powinno być takie straszne!

Mariko Kosaka

Co wyobrażasz sobie, gdy ktoś mówi „bezpieczeństwo”?

Hakerzy? Ataki? Obrona? Programista w czarnej bluzie z kapturem w ciemnym pokoju?

Gdy mówimy o słowie „bezpieczeństwo”, zwykle ma ono kontekst złych wiadomości. Często natrafisz na nagłówki takie jak „W wyniku dużej sieci społecznościowej wyciekło hasła logowania” czy „haker wykradł dane karty kredytowej z witryny zakupowej”.

Bezpieczeństwo jest jednak czymś, co należy traktować jako pozytywny i konieczny element tworzenia stron internetowych, tak jak „wygoda użytkowników” czy „ułatwienia dostępu”.

Negatywne i pozytywne obrazy bezpieczeństwa — Haker w bluzie z kapturem to negatywny obraz zabezpieczający. Zespół pracujący wspólnie nad projektem to pozytywny obraz bezpieczeństwa.

Z następnych przewodników dowiesz się, jak chronić swoją firmę i treści użytkowników.

Co to jest luka w zabezpieczeniach?

Gdy aplikacja nie działa zgodnie z założeniami w programie, mamy do czynienia z „błędem”. Czasami błąd wyświetla nieprawidłowe informacje lub ulega awarii przy określonym działaniu. Luka w zabezpieczeniach (czasami nazywana błędem związanym z bezpieczeństwem) to rodzaj błędu, który może zostać wykorzystany do nadużyć.

Błędy to częste w codziennych czynnościach dewelopera. Oznacza to, że luki w zabezpieczeniach są też często wprowadzane w aplikacjach. Warto wiedzieć o typowych lukach w zabezpieczeniach, aby je maksymalnie eliminować. Działa to tak jak minimalizowanie innych błędów, stosując się do typowych wzorców i technik.

Większość technik zabezpieczeń to po prostu dobre zaprogramowanie, np.: – Sprawdź wartości wpisane przez użytkownika (nie null, nie pusty ciąg znaków, sprawdzanie ilości danych). – Zadbaj o to, aby danemu użytkownikowi nie zajmowały zbyt dużo czasu. – Opracuj testy jednostkowe, by przypadkiem nie umieścić błędów związanych z bezpieczeństwem.

Co to są funkcje zabezpieczeń?

Pierwszymi liniami obrony są funkcje zabezpieczeń takie jak HTTPS i CORS. (O tych akronimach omówimy później, więc nie musisz się nimi przejmować). Na przykład szyfrowanie danych przy użyciu protokołu HTTPS może nie rozwiązać błędu, ale chroni dane, które wymieniasz z użytkownikami z innymi osobami. Częstym atakem jest przechwytywanie danych.

Jakie są tego skutki?

Gdy aplikacja nie jest bezpieczna, może to mieć wpływ na różne osoby.

Wpływ na użytkowników	Informacje poufne, takie jak dane osobowe, mogą zostać ujawnione lub wykradzione. Treści mogły zostać zmanipulowane. Zmodyfikowana witryna może kierować użytkowników na złośliwą witrynę.
Wpływ na aplikację	Możesz utracić zaufanie użytkowników. Firma może utracić informacje o firmie z powodu przestoju lub utraty zaufania w wyniku manipulowania lub niedoboru systemu.
Wpływ na inne systemy	Przejęta aplikacja może zostać użyta do atakowania innych systemów, np. w wyniku ataku typu DoS z wykorzystaniem botnetu.

Aktywne zabezpieczenie aplikacji jest kluczowe nie tylko dla Ciebie i Twojej firmy, ale także dla użytkowników. Pozwala to chronić ich i inne systemy przed atakami z Twojej witryny.

Podsumowanie

Gratulacje! Jesteś w połowie tego wprowadzenia. Wiesz już, czym różnią się luki w zabezpieczeniach i funkcje. Wie już też, że gdy Twoja aplikacja nie jest bezpieczna, ma to wpływ nie tylko na Ciebie, ale także na innych. W następnym przewodniku szczegółowo opisujemy różne rodzaje ataków, dzięki którym bezpieczeństwo powinno być jeszcze mniej straszne.