Безопасность не должна быть такой страшной!

Mariko Kosaka

Что вы представляете, когда кто-то говорит «безопасность»?

Хакеры? Атаки? Защита? Программист в черной толстовке в темной комнате?

Когда на ум приходит слово «безопасность», обычно это происходит в контексте плохих новостей. Вы часто встречаете такие заголовки, как «Крупная социальная сеть утекла пароли для входа» или «Злоумышленник украл данные кредитной карты с торгового сайта».

Но безопасность — это то, что следует воспринимать как положительную и необходимую часть веб-разработки, точно так же, как «пользовательский опыт» или «доступность».

Негативные и позитивные образы безопасности
Хакер в толстовке с капюшоном — негативный имидж безопасности. Совместная работа команды над проектом – это положительный имидж безопасности.

Из следующих нескольких руководств вы узнаете, как обеспечить безопасность вашего бизнеса и контента ваших пользователей.

Что такое уязвимость безопасности?

В разработке программного обеспечения, когда приложение не работает должным образом, это называется «ошибкой». Иногда ошибка отображает неверную информацию или происходит сбой при определенном действии. Уязвимость (иногда называемая ошибкой безопасности ) — это тип ошибки, которую можно использовать для злоупотреблений.

Ошибки часто встречаются в повседневной деятельности разработчика. Это означает, что в приложениях также часто появляются уязвимости. Важно то, что вы знаете об распространенных уязвимостях, чтобы максимально уменьшить их влияние. Это похоже на минимизацию других ошибок путем следования общим шаблонам и методам.

Большинство методов обеспечения безопасности — это просто хорошее программирование, например: — Проверка значений, введенных пользователем (не ноль, не пустая строка, проверка объема данных). - Убедитесь, что один пользователь не может отнимать слишком много времени. - Создавайте модульные тесты, чтобы ошибки безопасности не могли случайно возникнуть.

Что такое функции безопасности?

Ваша первая линия защиты — это функции безопасности, такие как HTTPS и CORS. (Об этих аббревиатурах вы узнаете позже, поэтому пока не беспокойтесь о них.) Например, шифрование данных с помощью HTTPS, возможно, не исправляет ошибку, но защищает данные, которыми вы обмениваетесь с пользователями, с другими сторонами. (Перехват данных — распространенная атака.)

Каков эффект?

Когда приложение небезопасно, это может затронуть разных людей.

Влияние на пользователей
  • Конфиденциальная информация, такая как личные данные, может быть раскрыта или украдена.
  • Контент может быть подделан. Подделанный сайт может перенаправить пользователей на вредоносный сайт.
Влияние на приложение
  • Доверие пользователей может быть потеряно.
  • Бизнес может быть потерян из-за простоя или потери доверия в результате взлома или нехватки системы.
Влияние на другие системы
  • Захваченное приложение может быть использовано для атаки на другие системы, например, с помощью атаки типа «отказ в обслуживании» с использованием ботнета.

Активная защита вашего приложения имеет решающее значение не только для вас и вашего бизнеса, но и для ваших пользователей, защищая их и другие системы от атак, запускаемых с вашего сайта.

Заворачивать

Поздравляем! Вы уже прошли половину этого введения. Теперь вы знаете разницу между уязвимостями и функциями безопасности и осознаете, что не только вы, но и все остальные страдают, когда ваше приложение небезопасно. В следующем руководстве подробно рассматриваются типы атак, чтобы сделать безопасность еще менее пугающей.