Безопасность веб-приложений

Специалисты веб-студии www.friendly.com.ua поделились с редакцией нашего издания своими достижениями в этой области.

Облачные веб-приложения нужно разрабатывать надежными и защищенными. Задача эта непростая, но выполнимая. Если есть желание создать минимальный продукт, необходимо понимать, что разработка полезного и безопасного приложения займет несколько месяцев. В противном случае результатом станет не готовый сайт, а только его прототип.

Для рассмотрения предлагается список необходимых задач, решение которых обеспечит безопасность создаваемых проектов. Представитель веб-студии Френдли любезно поделился с нами подробностями, как происходит грамотное создание сайта в Киеве.

База данных

1.Если есть возможность, лучше использовать шифрование при хранении информации, которая идентифицирует пользователей, а также для хранения конфиденциальной информации, например, токены доступа, адреса электронной почты, платежные реквизиты – это даст возможность ограничивать запросы к базе данных до поиска при точном совпадении.

2.Если СУБД может поддерживать эконом-шифрование сохраненных данных, задействуйте его для защиты информации, которая находится на диске. Более того, нужно проверить, чтобы каждая резервная копия базы также была зашифрована.

3.Для доступа к информационной базе желательно использовать учетную запись каждого пользователя с минимумом привилегий. Не рекомендуется применять учетные записи суперпользователей и периодически нужно проверять систему на наличие учетных записей, которые не применяются или имеют довольно слабые пароли.

4.Для хранения, передачи данных учетных записей, токенов доступа к системе и другой секретной информации рекомендуется пользоваться хранилищем для ключей, которое рассчитано на такой сценарий работы. Не желательно хранить подобные данные, жестко задавая их в кодах приложения.

5.Система должна быть защищена от попыток взлома с помощью SQL-инъекции при использовании только SQL-запросов.

Особенности разработки

Чтобы осуществить правильную разработку сайтов в Киеве:

1.Необходимо обеспечить проверку элементов системы на уязвимость в начале каждого релиза. Имеется в виду все библиотеки, пакеты, рабочая среда. Идеально, если проверка будет автоматизирована процессом CI-CD.

2.Важно обезопасить компьютер разработчика и отнестись к этой задаче также внимательно, как и к вопросу о безопасности продакшн-сервера. Разработку нужно проводить защищенными, изолированными от потенциальной опасности внешней среды машинами.

При разработке безопасных сайтов следует также с особым вниманием подходить и к таким вопросам, как:

·аутентификация – пароли должны быть хэшироваными, использовать хорошо зарекомендованные элементы для создания входа в систему, применять систему многофакторной аутентификации;

·организовать защиту от DOS-атак;

·воспользоваться специальными средствами для защиты веб-трафика;

·каждый пользователь должен быть аутентифицирован и авторизирован до того, как он будет пользоваться API;

·необходимо проверять и преобразовывать все данные, которые вносятся пользователями;

·особое внимание нужно обратить на настройку облачной среды;

·при создании инфраструктуры лучше всего использовать Terraform;

·уделить особое внимание эксплуатации инфраструктуры, тестированию системы, обучению персонала и разработать план работы в нестандартной ситуации.

Каждый проект имеет свою уникальность, и его разработчики знают с какими именно угрозами нужно бороться, какую защиту нужно обеспечить чтобы в результате получился качественный «продукт».

http://friendly.com.ua
Безопасностьвеб-приложений
Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции
Актуальность
(0 оценок)
Автор
(0 оценок)
Изложение
(0 оценок)
Я рекомендую
Пока никто не рекомендует
Происшествия
В Киеве поймали 40 вооруженных людей, которые пытались сбежать от полиции. Так правоохранители пресекли конфликт возле стройки. Об этом сообщает пресс-служба столичной полиции. Инцидент произошел в Дарницком районе. Полиция заметила 80 вооруженных людей, которые собирались недалеко от стройплощадки на Осокорках. При появлении силовиков "гости" попытались скрыться. В результате вынужденных мер была задержана половина воинственной компании. "Их доставляют в...
Власть
В столице без горячей воды остаются почти 10 тыс. жилых домов. Из них половина домов без воды из-за газового конфликта между столицей и НАК "Нафтогаз". Об этом в комментарии 44.ua сообщил в.и.о. главы коммунального предприятия "Киевтеплоэнерго" Вячеслав Бинд. "Без централизованного горячего водоснабжения в связи с гидравлическими испытаниями остается более 4,9 тыс. домов. А из-за отсутствия газа без горячей воды сегодня в Киеве 4,6 тыс. домов", - рассказал...
Общество
Лукьяновское СИЗО получило новое руководство. Теперь изолятором будет командовать Руслан Ромашков. Об этом сообщает "112-Украина". Информацию подтвердил пресс-секретарь заместителя министра юстиции Украины Юрий Маслак. Ранее Ромашков зарекомендовал себя в качестве руководителя Бориспольской исправительной колонии №119. Напомним, недавно Лукьяновское СИЗО снова очутилось в эпицентре скандала. Бойцы печально известной роты "Торнадо" забаррикадировались внутр...
Происшествия
К вечеру 16 июля центральную улицу Киева - Крещатик - почти привели в порядок после ночного потопа. Как мы сообщали, на Крещатике во время сильного ливня ночьюуровень воды достигал 20 см. Это произошло из-за обилия ила, веток и листьев, которые закрыли доступ воды к сливоприемных решеток. Читайте также: Убытки на полмиллиона: как магазин косметики в Киеве "утонул" из-за ливня Кофейню ливень "потрепал" неплохо Многострадальный Гастроном на Крещатике Очень н...
Общество
Из-за мощного ливня были затоплены не только улицы Киева, но и подземные переходы. Одним из таких оказался подземный переход на Крещатике, где помещения магазинов известных брендов заполнила водой на уровне 30 см. При этом товаров испорчено на 500 тыс. грн. Об этом журналисту 44.ua рассказал представитель находящегося в подземном переходе магазина косметики EVA, который попросил не раскрывать его личность. "В три часа ночи в подземном переходе уже работали...
СПЕЦПРОЕКТ 44.UA
Услуги для ребенка - для наших читателей мы обзвонили сотни компаний, чтобы понять, какие услуги сейчас предлагают маленьким Киевлянам и Киевлянкам. Подобрали на наш взгляд компании, которые оказывают качественные услуги для малышей. Чтобы помочь в выборе взяли комментарии у собственников бизнеса, которые найдете ниже в статье. Также для наших читателей собрали компании у которых можно купить/арендовать различные товары для малышей. А в данном проекте Вы у...
Общество
В киевских парках и скверах станет больше туалетов. Так, уборные появятся на четырех локациях. Об этом в комментарии 44.ua сообщила директор КП "Киевводфонд" Светлана Козловская. "Сейчас разрабатываются проекты и до конца этого года запланировано строительство инженерных сетей с целью дальнейшего установления 6-ти автоматизированных модульных туалетных кабин", - сказала Светлана Козловская. При этом в парках и скверах построят сразу 4 модульных туалетных к...
Происшествия
В городе Вишневое Киевской области против местных жителей представители застройщиков применили слезоточивый газ, а в ответ на это активисты подожгли забор и остановили экскаватор. Как рассказал нашему корреспонденту присутствовавший на месте событий адвокат Игорь Негиеевич, застройщик по поддельному решению сессии оформил право собственности на землю при поддержке суда. «Есть уголовное дело, но на тормозах. Застройщики сначала возвели два дома, потом поя...
Происшествия
В Киеве знаменитый памятник поэту Александру Пушкину потерял букву "П". Скульптура находится перед входом в одноименный парк на проспекте Победы. Об этом сообщает "Сегодня". "Стыдно видеть подобное, да еще и в центре столицы! К тому же в парке усохли сосны, на которых сделали канатную дорогу. Такое впечатление, что за ним никто не следит", - рассказала киевлянка Ольга. Пока неизвестно, отлетела буква от старости или ее умышленно отпилили. В столичном "Зеле...
КУРС КРИПТОВАЛЮТЫ
Покупка
Продажа
181 247,4172
182 650,5051
8 251,4275
8 634,4353