Безопасность веб-приложений

Специалисты веб-студии www.friendly.com.ua поделились с редакцией нашего издания своими достижениями в этой области.

Облачные веб-приложения нужно разрабатывать надежными и защищенными. Задача эта непростая, но выполнимая. Если есть желание создать минимальный продукт, необходимо понимать, что разработка полезного и безопасного приложения займет несколько месяцев. В противном случае результатом станет не готовый сайт, а только его прототип.

Для рассмотрения предлагается список необходимых задач, решение которых обеспечит безопасность создаваемых проектов. Представитель веб-студии Френдли любезно поделился с нами подробностями, как происходит грамотное создание сайта в Киеве.

База данных

1.Если есть возможность, лучше использовать шифрование при хранении информации, которая идентифицирует пользователей, а также для хранения конфиденциальной информации, например, токены доступа, адреса электронной почты, платежные реквизиты – это даст возможность ограничивать запросы к базе данных до поиска при точном совпадении.

2.Если СУБД может поддерживать эконом-шифрование сохраненных данных, задействуйте его для защиты информации, которая находится на диске. Более того, нужно проверить, чтобы каждая резервная копия базы также была зашифрована.

3.Для доступа к информационной базе желательно использовать учетную запись каждого пользователя с минимумом привилегий. Не рекомендуется применять учетные записи суперпользователей и периодически нужно проверять систему на наличие учетных записей, которые не применяются или имеют довольно слабые пароли.

4.Для хранения, передачи данных учетных записей, токенов доступа к системе и другой секретной информации рекомендуется пользоваться хранилищем для ключей, которое рассчитано на такой сценарий работы. Не желательно хранить подобные данные, жестко задавая их в кодах приложения.

5.Система должна быть защищена от попыток взлома с помощью SQL-инъекции при использовании только SQL-запросов.

Особенности разработки

Чтобы осуществить правильную разработку сайтов в Киеве:

1.Необходимо обеспечить проверку элементов системы на уязвимость в начале каждого релиза. Имеется в виду все библиотеки, пакеты, рабочая среда. Идеально, если проверка будет автоматизирована процессом CI-CD.

2.Важно обезопасить компьютер разработчика и отнестись к этой задаче также внимательно, как и к вопросу о безопасности продакшн-сервера. Разработку нужно проводить защищенными, изолированными от потенциальной опасности внешней среды машинами.

При разработке безопасных сайтов следует также с особым вниманием подходить и к таким вопросам, как:

·аутентификация – пароли должны быть хэшироваными, использовать хорошо зарекомендованные элементы для создания входа в систему, применять систему многофакторной аутентификации;

·организовать защиту от DOS-атак;

·воспользоваться специальными средствами для защиты веб-трафика;

·каждый пользователь должен быть аутентифицирован и авторизирован до того, как он будет пользоваться API;

·необходимо проверять и преобразовывать все данные, которые вносятся пользователями;

·особое внимание нужно обратить на настройку облачной среды;

·при создании инфраструктуры лучше всего использовать Terraform;

·уделить особое внимание эксплуатации инфраструктуры, тестированию системы, обучению персонала и разработать план работы в нестандартной ситуации.

Каждый проект имеет свою уникальность, и его разработчики знают с какими именно угрозами нужно бороться, какую защиту нужно обеспечить чтобы в результате получился качественный «продукт».

http://friendly.com.ua
Безопасностьвеб-приложений
Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции
Актуальность
(0 оценок)
Автор
(0 оценок)
Изложение
(0 оценок)
Я рекомендую
Пока никто не рекомендует
Общество
В ночь на понедельник, 23 сентября, "Киевпастранс" сократит режим работы двух столичных троллейбусов. Как сообщает пресс-служба "Киевпастранса", речь идет о троллейбусах, которые курсируют по маршрутам №№27А и 30. Электротранспорт будет работать в сокращенном режиме из-за ремонта контактной сети на Севастопольской площади. Последние отправления троллейбусов по собственному маршруту: № 27А: от ул. Дегтяревская: 23:38, 00:02; от ст. м. «Почайна»: 23:15, 23...
Происшествия
В Киеве пьяный сотрудник СТО угнал авто клиента и решил покататься на нем по ночному в Киеве. Об этом сообщают в отделе коммуникаций ГУ Нацполиции в Киеве. Известно, что к правоохранителям с заявой о краже автомобиля "Шевроле" обратился администратор СТО, что по улице Сумской. Клиент оставил свой автомобиль на парковке, однако ночью иномарка исчезла. Выяснилось, что к краже автомобиля причастен сотрудник этой же СТО. Он в нетрезвом состоянии решил угнать ч...
Общество
Синоптики предупреждают киевлян о резком ухудшении погоды: на Киев надвигается ураганный ветер. Об этом со ссылкой на Укргидрометцентр сообщает пресс-служба Киевской горадминистрации. Порывы сильного ветра будут достигать 20 м/c. Из-за этого в Киеве объявили о желтом уровне опасности. В мэрии просят киевлян соблюдать основные нормы безопасности при ураганном ветре: плотно закрыть окна своих квартир, с балкон и лоджий убрать предметы, которые могут упасть н...
Криминал
В субботу, 21-го сентября, в Оболонском районе Киева жестоко убили 16-летнюю девочку. Об этом сообщает отдел коммуникаций ГУ Нацполиции в Киеве. По предварительным данным, ужасный инцидент произошел около 11:30, в квартире жилого дома по улице Александра Попова. Тело девочки обнаружила ее бабушка.  Прибывшие на место жуткой трагедии полицейские пообщались с отцом девочки. Он рассказал, что между ним и дочкой произошла ссора на почве того, что он пришел дом...
Общество
Вопрос жилья в столице всегда актуален. Осенью вновь выросли цены на аренду недвижимости в связи с ростом деловой активности и приездом студентов. Мы предлагаем посмотреть, какое жилье предлагают арендодатели киевлянам и гостям столицы. Двухкомнатная квартира на Лесном массиве  Потенциальным жильцам предлагают двухспальный диван и двухярусную кровать, а также возможность улучшить свои знания по географии. И все это всего за 8000 грн. До метро нужно ехать 2...
Происшествия
В пятницу, 20-го сентября, под колесами грузового поезда в Борисполе погиб мужчина. Об этом сообщают в отделе коммуникации ГУ Нацполиции Киевщины. Инцидент произошел  на переезде платформы вблизи села Кучакив. Полицейские выяснили, что погибшему мужчине на вид около 40-45 лет. Установить его личность правоохранителям не удалось, так как при нем не было никаких документов. Тело мужчины направили на судебно-медицинскую экспертизу.  Напомним, ночью в Киеве не...
Происшествия
В ночь на 20 сентября, на улице Большая Васильковская, нетрезвая женщина-водитель на "Мерседесе" устроила массовую ДТП, протаранив два автомобиля. Об этом сообщает пресс-служба патрульной полиции Киева. По информации полицейских, женщина поворачивала на лево, но не пропустила водителя автомобиля "Мазда" и столкнулась с ним.  Патрульные на месте происшествия выяснили, что женщина была пьяна. Проверив ее на "Драгере" было установлено, что в крови у виновницы...
Общество
На этих выходных, 21-22 сентября, в Киеве для проезда транспорта закроют часть Крещатика. Как сообщают в пресс-службе Киевской горадминистрации, до 23:00 воскресенья, 23-го сентября, для транспорта закроют часть улицы Крещатик на участке от улицы Б.Хмельницкого до улицы Прорезной. Ограничения на проезд вводят из-за празднования Дня спасателя. Напомним, ранее журналисты сайта 44.ua писали о том, что в Киеве два дня не будут ездить трамваи №2.
Новости компаний
При первом же упоминании о Турции воображение рисует красивый пляж, буйную зелень парков, живописные горы, лазурное море… И, конечно же, тут же вспоминается прославившая туристическую индустрию страны система «все включено». Но помимо вышеперечисленного Турция может предложить путешественникам множество не менее впечатляющих возможностей для релакса.  Не только пляжи и море Возьмем, например, отдых в горах. Поклонники горнолыжного спорта и те, кто любит ка...