Un'applicazione non sicura potrebbe esporre utenti e sistemi a vari tipi di danni. Quando un soggetto malintenzionato usa vulnerabilità o mancanza di funzionalità di sicurezza a loro vantaggio di causare danni, si parla di un attacco. Gli daremo dai un'occhiata ai diversi tipi di attacco in questa guida per aiutarti a capire cosa cercare per proteggere la tua applicazione.
Attacchi attivi vs attacchi passivi
Gli attacchi si possono suddividere in due tipi diversi: attivi e passivi.
Attacchi attivi
Con un attacco attivo,l'utente malintenzionato tenta di violare l'applicazione strato Add. Questo può avvenire in vari modi, dall'utilizzo di un falso identità per accedere a dati sensibili (attacco mascherato) per inondare il server con enormi quantità di traffico che impediscono alla tua applicazione di rispondere (negativi un attacco al servizio).
Gli attacchi attivi possono essere applicati anche ai dati in transito. Un utente malintenzionato potrebbe modificare i dati dell'applicazione prima che raggiungano il browser dell'utente, mostrando le modifiche informazioni sul sito o indirizzare l'utente a una destinazione non intenzionale. Questo è a volte chiamata modifica dei messaggi.
Attacco passivo
Con un attacco passivo, l'utente malintenzionato tenta di raccogliere o apprendere informazioni dall'applicazione, ma non influisce sull'applicazione stessa.
Immagina che qualcuno stia intercettando la tua conversazione con amici e familiari, raccogliendo informazioni sulla tua vita personale, su chi sono i tuoi amici e frequentate spesso. Lo stesso potrebbe essere fatto con il tuo traffico web. Un aggressore acquisire dati tra il browser e il server raccogliendo nomi utente e password, password degli utenti la cronologia di navigazione e lo scambio di dati.
Difesa dagli attacchi
Gli utenti malintenzionati possono danneggiare direttamente la tua applicazione o eseguire un'operazione dannosa sul tuo sito senza che tu o i tuoi utenti se ne accorga. Occorrono meccanismi per rilevare e proteggere dagli attacchi.
Purtroppo, non esiste un'unica soluzione per rendere la tua richiesta sicura al 100%. In pratica, molte funzionalità e tecniche di sicurezza vengono utilizzate a livelli per prevenire o ritardare ulteriormente l'attacco (la cosiddetta difesa in profondità). Se le tue contiene un modulo, puoi controllare gli input nel browser, quindi server e infine al database; userai anche HTTPS per proteggere i dati in transito.
Conclusione
Poiché molti attacchi possono verificarsi senza mai colpire il server, a volte può capitare difficili da rilevare per capire se gli attacchi sono o meno. La buona notizia è che sul Web i browser dispongono già di potenti funzionalità di sicurezza integrate. Seguire l'argomento successivo "In che modo il browser mitiga gli attacchi" per saperne di più.