Эта страница переведена с помощью Cloud Translation API.

Безопасность не должна быть такой страшной!

Mariko Kosaka

Что вы представляете, когда кто-то говорит «безопасность»?

Хакеры? Атаки? Защита? Программист в черной толстовке в темной комнате?

Когда на ум приходит слово «безопасность», обычно это происходит в контексте плохих новостей. Вы часто встречаете такие заголовки, как «Крупная социальная сеть утекла пароли для входа» или «Злоумышленник украл данные кредитной карты с торгового сайта».

Но безопасность — это то, что следует воспринимать как положительную и необходимую часть веб-разработки, точно так же, как «пользовательский опыт» или «доступность».

Негативные и позитивные образы безопасности — Хакер в толстовке с капюшоном — негативный имидж безопасности. Совместная работа команды над проектом – это положительный имидж безопасности.

Из следующих нескольких руководств вы узнаете, как обеспечить безопасность вашего бизнеса и контента ваших пользователей.

Что такое уязвимость безопасности?

В разработке программного обеспечения, когда приложение не работает должным образом, это называется «ошибкой». Иногда ошибка отображает неверную информацию или происходит сбой при определенном действии. Уязвимость (иногда называемая ошибкой безопасности ) — это тип ошибки, которую можно использовать для злоупотреблений.

Ошибки часто встречаются в повседневной деятельности разработчика. Это означает, что в приложениях также часто появляются уязвимости. Важно то, что вы знаете об распространенных уязвимостях, чтобы максимально уменьшить их влияние. Это похоже на минимизацию других ошибок путем следования общим шаблонам и методам.

Большинство методов обеспечения безопасности — это просто хорошее программирование, например: — Проверка значений, введенных пользователем (не ноль, не пустая строка, проверка объема данных). - Убедитесь, что один пользователь не может отнимать слишком много времени. - Создавайте модульные тесты, чтобы ошибки безопасности не могли случайно возникнуть.

Что такое функции безопасности?

Ваша первая линия защиты — это функции безопасности, такие как HTTPS и CORS. (Об этих аббревиатурах вы узнаете позже, поэтому пока не беспокойтесь о них.) Например, шифрование данных с помощью HTTPS, возможно, не исправляет ошибку, но защищает данные, которыми вы обмениваетесь с пользователями, с другими сторонами. (Перехват данных — распространенная атака.)

Каков эффект?

Когда приложение небезопасно, это может затронуть разных людей.

Влияние на пользователей	Конфиденциальная информация, такая как личные данные, может быть раскрыта или украдена. Контент может быть подделан. Подделанный сайт может перенаправить пользователей на вредоносный сайт.
Влияние на приложение	Доверие пользователей может быть потеряно. Бизнес может быть потерян из-за простоя или потери доверия в результате взлома или нехватки системы.
Влияние на другие системы	Захваченное приложение может быть использовано для атаки на другие системы, например, с помощью атаки типа «отказ в обслуживании» с использованием ботнета.

Активная защита вашего приложения имеет решающее значение не только для вас и вашего бизнеса, но и для ваших пользователей, защищая их и другие системы от атак, запускаемых с вашего сайта.

Заворачивать

Поздравляем! Вы уже прошли половину этого введения. Теперь вы знаете разницу между уязвимостями и функциями безопасности и осознаете, что не только вы, но и все остальные страдают, когда ваше приложение небезопасно. В следующем руководстве подробно рассматриваются типы атак, чтобы сделать безопасность еще менее пугающей.