Bảo mật không nên quá đáng sợ!

Mariko Kosaka
X

Bạn hình dung điều gì khi ai đó nói đến "bảo mật"?

Tin tặc? Cuộc tấn công? Phòng thủ? Một lập trình viên mặc áo hoodie màu đen trong phòng tối?

Khi nhắc đến từ "mã bảo mật", chúng ta thường nghĩ đến những tin xấu. Bạn thường thấy các dòng tiêu đề như "Một mạng xã hội lớn bị rò rỉ mật khẩu đăng nhập" hoặc "kẻ tấn công đã đánh cắp thông tin thẻ tín dụng từ một trang web mua sắm".

Tuy nhiên, bảo mật là một phần tích cực và cần thiết trong quá trình phát triển web, giống như "trải nghiệm người dùng" hoặc "khả năng hỗ trợ tiếp cận".

Hình ảnh tiêu cực và tích cực về bảo mật
Hình ảnh một hacker mặc áo hoodie là hình ảnh tiêu cực về bảo mật. Hình ảnh một nhóm cùng làm việc trên một dự án là hình ảnh tích cực về bảo mật.

Trong một số hướng dẫn tiếp theo, bạn sẽ tìm hiểu cách bảo mật công việc kinh doanh và nội dung của người dùng.

Lỗ hổng bảo mật là gì?

Trong quá trình phát triển phần mềm, khi một ứng dụng không hoạt động như dự kiến, ứng dụng đó được gọi là "lỗi". Đôi khi, lỗi hiển thị thông tin không chính xác hoặc gặp sự cố khi thực hiện một thao tác nhất định. Lỗ hổng (đôi khi được gọi là lỗi bảo mật) là một loại lỗi có thể được dùng để lợi dụng.

Lỗi là điều thường thấy trong các hoạt động hằng ngày của nhà phát triển. Điều này có nghĩa là các lỗ hổng cũng thường xuyên xuất hiện trong các ứng dụng. Điều quan trọng là bạn phải nhận biết được các lỗ hổng bảo mật phổ biến để giảm thiểu chúng nhiều nhất có thể. Việc này cũng giống như việc giảm thiểu các lỗi khác bằng cách làm theo các mẫu và kỹ thuật phổ biến.

Hầu hết các kỹ thuật bảo mật chỉ là lập trình tốt, ví dụ: – Kiểm tra các giá trị do người dùng nhập (không rỗng, không phải chuỗi trống, kiểm tra lượng dữ liệu). – Đảm bảo một người dùng không thể chiếm quá nhiều thời gian. – Xây dựng kiểm thử đơn vị để các lỗi bảo mật không thể vô tình xuất hiện.

Tính năng bảo mật là gì?

Hàng phòng thủ đầu tiên của bạn là các tính năng bảo mật như HTTPS và CORS. (Bạn sẽ tìm hiểu về các từ viết tắt này sau, vì vậy, đừng lo lắng về chúng.) Ví dụ: việc mã hoá dữ liệu bằng HTTPS có thể không khắc phục được lỗi, nhưng sẽ bảo vệ dữ liệu mà bạn đang trao đổi với người dùng với các bên khác. (Tấn công chặn dữ liệu là một loại tấn công phổ biến.)

Điều này có tác động gì?

Khi một ứng dụng không an toàn, nhiều người có thể bị ảnh hưởng.

Tác động đối với người dùng
  • Thông tin nhạy cảm, chẳng hạn như dữ liệu cá nhân, có thể bị rò rỉ hoặc bị đánh cắp.
  • Nội dung có thể bị can thiệp. Một trang web bị can thiệp có thể chuyển hướng người dùng đến một trang web độc hại.
Tác động đến ứng dụng
  • Người dùng có thể mất niềm tin.
  • Do bị can thiệp hoặc thiếu hụt hệ thống, doanh nghiệp có thể bị mất do thời gian ngừng hoạt động hoặc mất niềm tin.
Tác động đến các hệ thống khác
  • Ứng dụng bị xâm nhập có thể được dùng để tấn công các hệ thống khác, chẳng hạn như bằng một cuộc tấn công từ chối dịch vụ sử dụng botnet.

Việc chủ động bảo mật ứng dụng không chỉ quan trọng đối với bạn và hoạt động kinh doanh của bạn mà còn đối với người dùng, bảo vệ họ và các hệ thống khác khỏi các cuộc tấn công được thực hiện từ trang web của bạn.

Tóm tắt

Xin chúc mừng! Bạn đã đi được một nửa phần giới thiệu này. Giờ đây, bạn đã biết sự khác biệt giữa các lỗ hổng bảo mật và tính năng, đồng thời bạn cũng biết rằng không chỉ bạn mà tất cả mọi người đều bị ảnh hưởng khi ứng dụng của bạn không an toàn. Hướng dẫn tiếp theo sẽ trình bày chi tiết các loại hình tấn công để giúp bạn không còn sợ hãi khi nói đến bảo mật.