איך לבנות אפליקצית ווב מאובטחת?

לצפייה במסך מלא

איך לבנות אפליקצית ווב מאובטחת?

0

אינטרנט והייטק  אבטחה של אפליקצית אינטרנט, ווב

0 תגובות   יום רביעי, 29/2/12, 18:02

איך לבנות אפליקצית ווב מאובטחת?

 

רבים מהלקוחות שלנו מבקשים שנפתח עבורם אפליקצית ווב. אנשים ברובם כבר הבינו שאפליקציה שיושבת על האינטרנט ואפשר להכנס אליה מכל מכשיר כולל מכשירים חכמים שונים, יש לה ערך גבוה יותר והיא מתאימה יותר לתקופה שלנו מאפליקציות דסק טופ.

אחת השאלות שעולות ולטעמי לא מספיק, היא איזו דרגת אבטחה אתם מציעים לאפליקציה מהסוג הזה. אנשים חוששים שאפליקצית אינטרנט יכולה להיות חדירה ולא מוגנת הרבה יותר מאפליקציות מסורתיות אחרות.

ראשית ישנם כמה חוקים ברורים. פיתוח של אפליקציה עסקית עושים אצל מפתחים אמינים וחברה עם ניסיון.

בדקו היטב את ההסטוריה של החברה ושאלו אותם איך הם מתכוונים לאבטח את האפליקציה.

במאמר זה, נדון באבטחת אפליקצית ווב על קצה המזלג היות והנושא מורכב מאוד.

אז איך בונים אפליקצית אינטרנט מאובטחת?

 

אבטחת זהות משתמש

רב האפליקציות היום דורשות כניסה בו זמנית של משתמשים רבים למערכת. ועל כן מאוד חשוב שהאפליקציה בנויה עם מערכת בק-אנד חזקה ביותר שמגבילה כניסת משתמשים לאזורים מסוימים של האפליקציה. בנה אפליקציה עם סביבת משתמש וסביבת אדמין נפרדות אחת מהשניה.

האפליקציה צריכה להיות עם הגבלת חשיפה לאפליקציה ע”פ זהות המשתמש והרשאות הכניסה שלו.

הרשה שימוש בססמאות חזקות בלבד.

בנה מערכת ניהול ססמאות, ע”י נעילת חשבונות, פקיעת תוקף של ססמאות

הקוקיס של אימות נתוני המשתמש צריכות לעבור הצפנה וכולן צריכות להיות בעלות תוקף קצר.

 

אישור (אוטוריזציה)

הגבלת זכויות משתמש היא חשובה יותר. במיוחד הגבלה של חשיפה של משתמשים לקבצים ברמת המערכת, כמו תיקיות, ,קבצים של מסד הנתונים, קבצי לוג מסוגים שונים.

כדאי להשתמש ב (Windows Access Control Lists (ACLs, כדי להגביל גישה למשתמשים שונים.

כדאי גם לנעול גישה למשתמשים אנונימיים ולהשתמש במספר גייטקיפרס.

 

קונפיגורציה

ודא שאיזור האדמין הוא בעל גישה רק למשתמשים בעלי גישת אדמין . עדיף שמשתמשי האדמין יעשו לוגין למערכת רק באופן מקומי, אבל אם הם צריכים להתחבר למערכת מרחוק, אז כדאי להשתמש בערוצי הצפנה כמו SSL או VPN.

דבר חשוב נוסף הוא ליצור הצפנה לקבצי טקסט , עדיף לא להשתמש בקבצי קונפיגורציה במרחב הווב, וכמובן, להגביל גישה למשתמשים ולמה שהם יכולים לראות או לעשות במערכת.

 

אודיטינג ולוגין

מאוד חשוב לתחזק קבצי אודיט בכל שדות האפליקציה. כמובן, שקבצים שנשמרים בריל-טיים הם הטובים ביותר.

אפשר להשתמש בכלים של  windows, IIS, and SQL Server.

קבצי לוגין של  מניפולציה של נתונים, של קבצי כניסה למערכת בנוסף למיקום ומידע על משתמש הם חשובים ביותר. יש לאבטח את כל קבצי הלוגין ע”י ACLs.

 

גיבוי

הוסף פונקציה של גיבוי לכל הקבצים בכל שדות האפליקציה.

 

לפיתוח כלים ואוטומציה של עסק קטן כנסו לתוכנה לניהול עסק או פיתוח אפליקציות ווב וסלולר 

דרג את התוכן: