Что такое безопасность
- Безопасность — это комплекс защитных мер.
Вопрос безопасности ставится всегда! Не важно, покупаете вы недвижимость в Австрии или пишите программу. Печально, что многие программисты не выполняют простых мер безопасности. Почему? Это субъективный вопрос. Да и не столько важна причина, сколько то, что любая информация может быть присвоена кем-либо нелегально. Это очень серьезное упущение.
- Безопасность должна быть сбалансирована с затратами.
Обеспечить достаточный уровень безопасности для большинства приложений просто и относительно недорого. Однако, если ваши потребности в области безопасности очень требовательны, потому что вы защищаете очень ценную информацию, следует обеспечить более высокий уровень безопасности. Эти расходы должны быть включены в бюджет проекта.
- Безопасность должна быть сбалансирована с юзабилити.
Не редко предпринимаемые шаги по увеличению безопасности Web-приложений приводят к снижению юзабилити. Пароли, сессии, тайм-ауты и контроль доступа - все это создает препятствия для обычных пользователей. Иногда это необходимо, чтобы обеспечить надлежащую безопасность, однако существуют и другие методы, которые обходятся без ущемления прав ваших клиентов. Следует помнить о ваших пользователях при осуществлении мер безопасности.
- Безопасность должна быть частью разработки.
Если вы разработали приложения без учета требований безопасности, то вы обречены постоянно искать решения об устранении новых уязвимостей. Вопрос безопасности должен быть поставлен еще до начала разработки приложения!
Основные шаги
- Рассчитывайте на взлом вашего приложения.
В ходе разработки приложения, когда пишется код, важно рассчитывать на возможный взлом скрипта. Зачастую, следует специально вносить ошибки в работу скрипта для того, чтобы найти в нем слабые места.
- Самообучение.
То, что вы здесь доказательство того, что вы заботитесь о безопасности, и, как бы банально это ни звучало, это самый важный шаг.
- А также, ФИЛЬТРУЙТЕ все внешние данные!
Фильтрация данных является краеугольным камнем безопасности Web-приложений для любого языка программирования. При инициализации ваших переменных и фильтрации всех данных, поступающих из внешнего источника, вы обнаружите большинство уязвимостей. Используйте поход "белого списка" — запрещать все, что не разрешено!
