Bảo mật không nên quá đáng sợ!

Mariko Kosaka
X

Bạn sẽ hình dung thế nào khi có người nói đến từ "bảo mật"?

Tin tặc? Tấn công? Phòng thủ? Một lập trình viên mặc áo hoodie màu đen trong phòng tối?

Khi từ "bảo mật" được nhắc đến, nó thường trong ngữ cảnh của tin xấu. Bạn thường bắt gặp dòng tiêu đề như "Một mạng xã hội lớn bị rò rỉ mật khẩu đăng nhập" hoặc "một kẻ tấn công đã đánh cắp thông tin thẻ tín dụng từ một trang web mua sắm".

Tuy nhiên, bảo mật là một yếu tố được coi là một phần tích cực và cần thiết trong quá trình phát triển web, giống như "trải nghiệm người dùng" hay "khả năng hỗ trợ tiếp cận".

Hình ảnh tiêu cực và tích cực về an ninh
Tin tặc mặc áo hoodie là hình ảnh bảo mật tiêu cực. Một nhóm làm việc cùng nhau trong quá trình thực hiện dự án chính là một hình ảnh bảo mật tích cực.

Trong một số hướng dẫn tiếp theo, bạn sẽ tìm hiểu cách giữ an toàn cho doanh nghiệp và nội dung của người dùng.

Lỗ hổng bảo mật là gì?

Trong quá trình phát triển phần mềm, khi một ứng dụng không hoạt động theo cách mong muốn, thì ứng dụng đó được gọi là "lỗi". Đôi khi, lỗi hiển thị thông tin sai hoặc sự cố đối với một thao tác nhất định. Lỗ hổng bảo mật (đôi khi gọi là lỗi bảo mật) là một loại lỗi có thể được dùng để lạm dụng.

Lỗi là bình thường trong các hoạt động thường ngày của nhà phát triển. Điều đó có nghĩa là các lỗ hổng cũng thường xuyên được đưa vào các ứng dụng. Điều quan trọng là bạn phải hiểu rõ các lỗ hổng bảo mật phổ biến để giảm thiểu các lỗ hổng đó ở mức tối đa. Việc này cũng giống như việc giảm thiểu các lỗi khác bằng cách làm theo các mẫu và kỹ thuật phổ biến.

Hầu hết các kỹ thuật bảo mật đều chỉ là lập trình tốt, ví dụ: – Kiểm tra các giá trị do người dùng nhập (không rỗng, không phải là chuỗi trống, kiểm tra lượng dữ liệu). – Đảm bảo rằng một người dùng không được chiếm quá nhiều thời gian. – Xây dựng chương trình kiểm thử đơn vị để lỗi bảo mật không vô tình xảy ra.

Các tính năng bảo mật là gì?

Tuyến phòng vệ đầu tiên của bạn là các tính năng bảo mật như HTTPS và CORS. (Bạn sẽ tìm hiểu về các từ viết tắt này sau, vì vậy, đừng lo lắng về chúng vào lúc này.) Ví dụ: việc mã hoá dữ liệu bằng HTTPS có thể không phải là cách sửa lỗi nhưng giúp bảo vệ dữ liệu mà bạn đang trao đổi với người dùng với các bên khác. (Chặn dữ liệu là hình thức tấn công phổ biến.)

Mức độ tác động ra sao?

Khi một ứng dụng không an toàn, nhiều người có thể bị ảnh hưởng.

Tác động đến người dùng
  • Thông tin nhạy cảm, chẳng hạn như dữ liệu cá nhân, có thể bị rò rỉ hoặc đánh cắp.
  • Nội dung có thể bị can thiệp. Trang web bị can thiệp có thể đưa người dùng đến một trang web độc hại.
Tác động đến ứng dụng
  • Người dùng có thể mất niềm tin.
  • Doanh nghiệp có thể bị gián đoạn do thời gian ngừng hoạt động hoặc mất niềm tin do hành vi can thiệp hoặc thiếu hụt hệ thống.
Tác động đến các hệ thống khác
  • Ứng dụng bị xâm nhập có thể được dùng để tấn công các hệ thống khác, chẳng hạn như tấn công từ chối dịch vụ bằng botnet.

Chủ động bảo mật ứng dụng không chỉ quan trọng đối với bạn và doanh nghiệp mà còn đối với người dùng, bảo vệ người dùng và các hệ thống khác khỏi các cuộc tấn công từ trang web của bạn.

Tóm tắt

Xin chúc mừng! Bạn đã đi được một nửa phần giới thiệu này. Giờ đây, bạn đã biết sự khác biệt giữa các lỗ hổng bảo mật và các tính năng. Đồng thời, bạn cũng biết rằng không chỉ bạn mà tất cả những người khác đều bị ảnh hưởng khi ứng dụng của bạn không an toàn. Hướng dẫn tiếp theo sẽ trình bày chi tiết về các loại tấn công để làm cho hoạt động bảo mật trở nên ít đáng sợ hơn nữa.