Λίστα ελέγχου ασφαλείας για web developers

Ανεξάρτητα από το πόσο ισχυρές είναι οι δεξιότητές σας στην ανάπτυξη, η ύπαρξη λίστας ελέγχου ασφάλειας στον ιστό είναι καθοριστική. Είναι σύνηθες για τους επαγγελματίες του διαδικτύου να δίνουν μεγαλύτερη προσοχή στο σχεδιασμό, τη λειτουργικότητα και άλλες άμεσες ανησυχίες. Ωστόσο, εάν οι κορυφαίες λύσεις σας δεν είναι ασφαλείς, θα δυσκολευτείτε να διατηρήσετε τους πελάτες σας.

Με την αυξανόμενη απειλή των χάκερ στο διαδίκτυο, η ασφάλεια του διαδικτύου έχει γίνει ακόμη πιο ζεστό θέμα από ποτέ. Αυτός είναι ο λόγος για τον οποίο θέλετε να παρέχετε ασφαλή έλεγχο ταυτότητας και να κρυπτογραφείτε όλες τις συνδέσεις στα έργα ανάπτυξης ιστοσελίδων, καθώς και να ακολουθείτε άλλες βέλτιστες πρακτικές.

Σε αυτήν την ανάρτηση, θα κοινοποιήσουμε μια λίστα ελέγχου ασφάλειας ιστού για προγραμματιστές, προκειμένου να βοηθήσουν στην εφαρμογή των εφαρμογών σας. Ωστόσο, πρώτα θα εξετάσουμε γρήγορα γιατί η ασφάλεια πρέπει να αποτελεί κορυφαία προτεραιότητα. Ας αρχίσουμε!

Γιατί η Ασφάλεια Ιστού είναι σημαντική στην ανάπτυξη ιστοσελίδων

Υπολογίζεται ότι μια διαδικτυακή επίθεση συμβαίνει κάπου στο Διαδίκτυο κάθε 39 δευτερόλεπτα . Επιπλέον, περίπου το 68% των ηγετών των επιχειρήσεων πιστεύουν ότι αυξάνονται οι κίνδυνοι για την ασφάλεια στον κυβερνοχώρο. Όταν κακόβουλο λογισμικό μολύνει έναν ιστότοπο, μπορεί εύκολα να συλλέξει δεδομένα ή ακόμα και να παραβιάσει όλους τους πόρους του υπολογιστή του.

Με άλλα λόγια, οι εισβολείς μπορούν να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα που ανήκουν τόσο σε υπάρχοντες όσο και σε νέους επισκέπτες του ιστότοπου. Εκτός από την κλοπή των πληροφοριών τους, τα αυτοματοποιημένα εργαλεία εισβολής μπορούν επίσης να μολύνουν υπολογιστές. Λόγω των χιλιάδων νέων κακόβουλων προγραμμάτων που δημιουργούνται καθημερινά, θα πρέπει να παραμείνετε στην κορυφή του παιχνιδιού σας για να διατηρήσετε τον ιστότοπό σας – και τους πελάτες σας – συνεχώς προστατευμένους.

Ο οικονομικός αντίκτυπος των διαδικτυακών επιθέσεων είναι επίσης σημαντικός. Είναι γενικά πολύ πιο ακριβό να πραγματοποιείτε εκκαθάριση ιστότοπου, δηλαδή να προστατεύετε τα διαδικτυακά περιουσιακά στοιχεία. Δεδομένου ότι πολλές πληροφορίες χρηστών κινδυνεύουν κατά τη διάρκεια επιθέσεων στον κυβερνοχώρο, οι εταιρείες θα χάσουν τεράστια χρηματικά ποσά στη διαδικασία.

Στην πραγματικότητα, το κόστος παραβίασης δεδομένων λέγεται ότι υπερβαίνει κατά μέσο όρο το 20% των εσόδων μιας επιχείρησης . Πιστεύεται επίσης ότι το έγκλημα στον κυβερνοχώρο θα κοστίσει στον κόσμο περίπου 6 τρισεκατομμύρια δολάρια έως το 2021 . Ακόμα και αν καταφέρετε να περιορίσετε τις οικονομικές και τεχνικές ζημιές που προκαλούνται από επιθέσεις στον κυβερνοχώρο, η πελατειακή σας βάση θα εξακολουθήσει να επηρεάζεται αρνητικά.

Κατά μέσο όρο, χρειάζονται περίπου 314 ημέρες για την πλήρη παραβίαση δεδομένων. Ο ιστότοπός σας ενδέχεται να είναι εκτός λειτουργίας τις περισσότερες φορές και η αφοσίωση και η αξιοπιστία των πελατών σας θα έχουν σημαντική επιτυχία. Ορισμένοι οργανισμοί χάνουν έως και το 20% των πελατειακών τους βάσεων κατά τη διαδικασία.

Με όλους αυτούς τους σημαντικούς παράγοντες σε κίνδυνο, καθίσταται επιτακτική η προσοχή και η προστασία των έργων σας. Ας εξετάσουμε τη βασική λίστα ελέγχου ασφάλειας ιστού που σας προτείνουμε να ακολουθήσετε για να διατηρήσετε ένα στενό πλοίο.

Λίστα ελέγχου ασφαλείας για web developers

Η κατασκευή των ιστοσελίδων των πελατών σας έχοντας κατά νου την ασφάλεια, παρέχει στους πελάτες σας και τους τελικούς χρήστες των website τους απρόσκοπτη και ακίνδυνη χρήση των ιστοσελίδων σας.
Ακολουθεί μια λίστα ελέγχου ασφαλείας πέντε σημείων που μπορεί να σας βοηθήσει να διατηρήσετε τα έργα σας ασφαλή.

1. Επιλέξτε έναν ασφαλή πάροχο φιλοξενίας ιστοσελίδων

Η ασφάλεια των ιστοσελίδων και των εφαρμογών σας ξεκινά με τον πάροχο φιλοξενίας σας. Είναι σχεδόν αδύνατο να έχετε ένα ασφαλές έργο εάν ο πάροχός σας δεν χρησιμοποιεί σκληρυμένους διακομιστές και σωστά διαχειριζόμενες υπηρεσίες.

Όταν επιλέγετε έναν πάροχο φιλοξενίας website, είναι σημαντικό να συγκρίνετε τις επιλογές σας με βάση το πόσο καλά διαχειρίζονται τους διακομιστές τους και ποια εργαλεία προσφέρουν για την προστασία των έργων σας. Αν και είναι σχεδόν αδύνατο να προσφέρουμε εγγύηση 100 τοις εκατό, ένας ασφαλής πάροχος θα παρέχει γενικά τα εξής:

  • Ασφαλές λειτουργικό σύστημα (OS) και λογισμικό
  • Αξιόπιστα αντίγραφα ασφαλείας και επαναφορά λειτουργικότητας
  • Υποστήριξη για το πρωτόκολλο Secure Sockets Layer (SSL)
  • Βιομηχανικό πρότυπο λειτουργίας
  • Σάρωση και προστασία κακόβουλου λογισμικού
  • Καταμερισμός της επίθεσης άρνησης υπηρεσίας (DDoS)
  • Εφαρμογή τείχους προστασίας

Συνήθως, οι οικοδεσπότες Ιστού κατατάσσουν πιστοποιητικά SSL ως μία από τις κύριες προσφορές τους. Αυτή η δυνατότητα είναι κρίσιμη για την κρυπτογράφηση της σύνδεσης μεταξύ του διακομιστή του ιστότοπού σας και των προγραμμάτων περιήγησης των επισκεπτών. Μια άλλη δυνατότητα που πρέπει να περιλαμβάνει ο πάροχος φιλοξενίας της ιστοσελίδας σας είναι η δυνατότητα σάρωσης για κακόβουλο λογισμικό.

Για τους κατόχους ιστότοπων ηλεκτρονικού εμπορίου, είναι σημαντικό να λάβετε υπόψη τη συμμόρφωση του οικοδεσπότη Ιστού σας με το πρότυπο ασφαλείας της Βιομηχανίας Κάρτας Πληρωμών (PCI) . Αυτό προστατεύει τις πληροφορίες των πελατών για όλους τους τύπους πληρωμών με κάρτα. Εάν ο κεντρικός υπολογιστής σας δεν τον υποστηρίζει άμεσα, τότε πρέπει να είναι συμβατός με άλλους τρίτους παρόχους API καλαθιού αγορών συμβατών με PCI .

2. Κρυπτογράφηση όλων των συνδέσεων και ασφαλών συνδέσεων χρήστη

Μόλις επιλέξετε έναν ασφαλή πάροχο φιλοξενίας ιστοσελίδων, το επόμενο σημείο που πρέπει να λάβετε υπόψη είναι η κρυπτογράφηση όλων των συνδέσεών σας. Αυτό είναι ιδιαίτερα σημαντικό για ιστότοπους που απαιτούν οποιαδήποτε μορφή εγγραφής ή συναλλαγής.

Όπως ήδη αναφέραμε, η χρήση ενός πιστοποιητικού SSL είναι ένα εξαιρετικό μέρος για να ξεκινήσετε. Μπορείτε να ασφαλίσετε περαιτέρω τον ιστότοπό σας εφαρμόζοντας το Hypertext Transfer Protocol Secure (HTTPS).

Η προστασία των σελίδων που απαιτούν έλεγχο ταυτότητας θα πρέπει επίσης να αποτελεί σημαντική προτεραιότητα. Ενσωματώστε ένα πολύ προστατευτικό πρότυπο κωδικού πρόσβασης που απαιτεί από τους χρήστες να εγγραφούν με ασφαλή διαπιστευτήρια.

Είναι επίσης σημαντικό να αποθηκεύετε κωδικούς πρόσβασης στον ιστότοπό σας χρησιμοποιώντας ισχυρή κρυπτογράφηση. Τεχνολογίες όπως το “bcrpyt” καθιστούν αδύνατη την ανάκτηση κωδικών πρόσβασης σε περίπτωση παραβίασης δεδομένων.

Ομοίως, εάν η αυτόματη εγγραφή είναι ενεργοποιημένη στον ιστότοπό σας, φροντίστε να παρέχετε μόνο μοναδικά, απρόβλεπτα ονόματα χρήστη. Άλλοι εξίσου σημαντικοί παράγοντες που πρέπει να ληφθούν υπόψη περιλαμβάνουν την εφαρμογή OAuth και  διακριτικά επαναφοράς κωδικού πρόσβασης .

3. Χρησιμοποιήστε ένα Web Based Firewall (WAF)

Το WAF είναι ένα εξαιρετικά ισχυρό εργαλείο που μπορεί να σώσει εσάς και την επιχείρησή σας πολύ ταλαιπωρία. Είναι πολύ χρήσιμο για τον εντοπισμό και την πρόληψη επιθέσεων, ειδικά από αυτοματοποιημένα bots.

Η κύρια χρήση ενός τείχους προστασίας είναι η παρακολούθηση της κυκλοφορίας Hypertext Transfer Protocol (HTTP), η οποία είναι πολύ πιο ευαίσθητη σε κινδύνους ασφαλείας από την κυκλοφορία HTTPS. Το τείχος προστασίας ModSecurity και παρόμοια εργαλεία μετριάζουν αποτελεσματικά τις κοινές επιθέσεις, όπως SQL injections, Cross-Site Scripting (XSS), cross-site πλαστογράφηση και άλλα.

Στην ουσία, όταν αναπτύσσεται ένα WAF, δημιουργείται μια ασπίδα μεταξύ της εφαρμογής ιστού και του Διαδικτύου. Κάθε πελάτης Ιστού πρέπει να το περάσει πριν φτάσει στο διακομιστή. Ένα σύνολο προκαθορισμένων κανόνων φιλτράρει την κακόβουλη επισκεψιμότητα και προστατεύει τους ιστότοπους από ευπάθειες.

4. Διατηρήστε ασφαλή τη βάση δεδομένων σας

Ένα άλλο παραθυράκι ασφαλείας που μπορούν εύκολα να εκμεταλλευτούν είναι η βάση δεδομένων της ιστοσελίδας σας. Συνήθως, θα πρέπει να αποθηκεύσετε πολλές πληροφορίες (σχετικά με την επιχείρηση και τους πελάτες σας) στον διακομιστή της εφαρμογής σας στο Web. Ωστόσο, φροντίστε να αποθηκεύσετε μόνο τα δεδομένα που πραγματικά χρειάζεστε.

Αντιμετωπίζετε πάντα ευαίσθητα δεδομένα, όπως στοιχεία πιστωτικής κάρτας, διευθύνσεις ηλεκτρονικού ταχυδρομείου και άλλες πληροφορίες αναγνώρισης όσο το δυνατόν πιο προσεκτικά. Μπορεί να γίνει δαπανηρό, αν δεν είναι σωστό. Κατά κανόνα, προσπαθήστε να κρυπτογραφήσετε όλα τα δεδομένα που προσδιορίζουν τους χρήστες.

Ορισμένες επιλογές χαμηλού κόστους που πρέπει να λάβετε υπόψη περιλαμβάνουν κρυπτογράφηση σε κατάσταση ηρεμίας, όπως το AWS Aurora του Amazon . Αυτό θα εξασφαλίσει αποτελεσματικά δεδομένα στο δίσκο. Ομοίως, μπορεί να θέλετε να επιμεληθείτε μια λίστα με όλα τα εργαλεία που χρησιμοποιείτε για την αποθήκευση πληροφοριών πελάτη. Αυτό μπορεί να περιλαμβάνει βάσεις δεδομένων, συστήματα εγγράφων, GitHub, Dropbox και άλλα.

Εάν εσείς ή η επιχείρησή σας υπόκειται στον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), θα θελήσετε να αφιερώσετε χρόνο και πόρους για να κατανοήσετε πλήρως και να συμμορφωθείτε με τις απαιτήσεις του. Η Google έχασε 57 εκατομμύρια δολάρια χάρη σε αυτό το 2019. Αυτές οι πολιτικές ενδέχεται να ισχύουν διαφορετικά για διάφορα έργα ανάπτυξης ιστού.

5. Προσπαθήστε να χαράξετε τον εαυτό σας

Το τελευταίο πλαίσιο που πρέπει να σημειώσετε σε αυτήν τη λίστα ελέγχου ασφάλειας ιστού είναι να προσπαθήσετε να χαράξετε το δικό σας έργο. Δεδομένου ότι αυτό είναι που επιδιώκουν οι επιτιθέμενοι και τα ρομπότ τους, ο καλύτερος τρόπος να μείνετε μπροστά είναι να το δοκιμάσετε πρώτα. Η παραβίαση του εαυτού σας είναι ένας τρόπος αυτοελέγχου των εφαρμογών ιστού σας για να δείτε πώς αντιμετωπίζουν κοινές επιθέσεις στον κυβερνοχώρο.

Μπορείτε να ξεκινήσετε εκτελώντας δοκιμές διείσδυσης. Επίσης γνωστό ως «δοκιμαστικό στυλό», αυτό περιλαμβάνει την απόπειρα παραβίασης των συστημάτων εφαρμογής σας (API, διακομιστές κ.λπ.)

Ακόμη και μετά τη δοκιμή της δικής σας εφαρμογής, ίσως θελήσετε επίσης να την εκτελέσετε από άλλους προγραμματιστές και χρήστες beta για να εξερευνήσετε τη λειτουργικότητά της πέρα ​​από την κανονική χρήση. Μπορείτε να συμβουλευτείτε αυτήν τη λεπτομερή λίστα ελέγχου Open Web Application Security Project (OWASP) για να δείτε διάφορους τρόπους για να δοκιμάσετε τα έργα σας.

 

Προκειμένου κάθε επιχείρηση να είναι πραγματικά κερδοφόρα σε όλες τις διαδικτυακές πλατφόρμες, η κορυφαία ασφάλεια είναι ένας σημαντικός παράγοντας που πρέπει να αντιμετωπιστεί. Ως προγραμματιστής ιστού, είναι καθήκον σας να το παραδώσετε σε όλα τα έργα σας.

Ας ρίξουμε μια ακόμη ματιά στα σημαντικά σημεία που θα θέλατε να λάβετε υπόψη για να διασφαλίσετε τα έργα ανάπτυξης ιστού:

  1. Επιλέξτε έναν ασφαλή πάροχο φιλοξενίας ιστοσελίδων .
  2. Κρυπτογράφηση όλων των συνδέσεων και ασφαλών συνδέσεων χρήστη.
  3. Χρησιμοποιήστε ένα τείχος προστασίας εφαρμογής Web (WAF).
  4. Διατηρήστε την βάση δεδομένων σας ασφαλή.
  5. Προσπαθήστε να χαράξετε τον εαυτό σας.

 

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest
Share on email
Email