• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Web-додатки

    Сучасні web-додатки існують в середовищі, яка помітно відрізняється від тієї, яка була на зорі існування мережі Інтернет. Вони стали важливими інструментами роботи компаній, але, при цьому, їх функціонування часто не дуже відповідає тому на що розраховані браузери, движки яких, найчастіше, створювалися багато років назад. Причому зростання і розширення функціональності web-додатків відбувалися настільки швидко, що не завжди вдавалося домогтися всього, чого хотілося. Це особливо очевидно в тому випадку, якщо мова йде про забезпечення безпеки web-додатків. І хоча більшість компанії використовує певні механізми захисту своїх web-додатків, тільки деякі з них мають дійсно серйозні, комплексні програми забезпечення безпеки web-додатків. Цей факт породжує дві проблеми. По-перше, відсутність повноцінної програми значно підвищує ризики і серйозно погіршує наслідки потенційних атак. А по-друге, відсутність єдиної програми значно збільшує вартість підтримки прийнятного рівня безпеки web-додатки, при якому ризики та наслідки потенційних атак будуть мінімальними.

    В даному звіті представлена ​​інформація про те, як побудувати прагматичну програму безпеки web-додатки за розумну вартість, але, при цьому, забезпечивши його ефективний захист. Замість того, щоб заглиблюватися в конкретні деталі якоїсь однієї технології, ми виділимо основні складові системи безпеки і то як вони повинні взаємодіяти між собою. Почнемо з того, що розповімо про те, чим відрізняються web-додатки від комерційних та інших додатків. Потім ми запропонуємо основні обгрунтування, які можна використовувати для отримання бюджету для даного завдання. А також зосередимо увагу на специфічних потребах в області безпеки web-додатків, заглибимося в деталі основних компонентів безпеки і, в результаті, об'єднаємо їх в загальну програму безпеки web-додатків, засновану на типових прикладах використання.

    Комерційні web-додатки розвивалися таким чином, що стали головоломкою з точки зору безпеки. Незважаючи на те, що все в ІБ спостерігали за їх появою розвитком, на перших етапах їх відносили до додатків з не дуже високим рівнем ризику. Але в короткий час web-додатки виросли з експериментальних програм в критично важливі бізнес-додатки. Запитайте у будь-якого розробника web-додатків і він розповість вам історію про те, як їх маленький внутрішній проект раптом став найважливішою частиною бізнесу, як тільки вони зробили помилку, розхваливши його бізнес-підрозділу своєї компанії. В результаті, зараз немає можливості перервати розвиток web-додатків і повернутися до основ, щоб врахувати всі важливі моменти, які були упущені на зорі становлення, що в підсумку призвело до поточної ситуації в плані безпеки:

    • До початку активного використання web-додатків, лише мале число компаній організували взаємодію своїх внутрішніх систем із зовнішнім світом. І навіть ті, хто зробили це, надавали доступ лише бізнес-партнерам, а великій кількості людей працювали і зовсім - одиниці.
    • Web-додатки виросли самостійно - починали з інформаційних сайтів, які були лише трохи більше, ніж каталоги. А потім через базові сервіси вони були пов'язані з критично важливими бек-енд системами.
    • Ті програми, що розроблялися досить довго і не менш довго наситились функціоналом, часто викликають до себе зайву довіру, хоча по факту можуть бути також уразливі, як і ті, що робилися поспіхом. В даному випадку спрацьовує класичний принцип "жаба в каструлі" - якщо жабу закинути в гарячу воду, то вона відразу вистрибне, а якщо підігрівати воду поступово, то звариться, навіть не помітивши цього.
    • Протоколи web-додатків розроблені з метою забезпечити простоту і гнучкість взаємодії, але при цьому, в значній мірі уразливі.
    • Інструменти і методи розробки web-додатків дуже швидко розвиваються, але як і раніше покладаються на велику кількість успадкованого коду.
    • Загрози для web-додатків розвиваються так само швидко, як і самі web-додатки, а крім того, регулярно з'являються загрози щодо того, що було зроблено в минулому. Web спочатку не призначався для безпечного запуску критичних додатків, а це значить, що всі розроблені додатки фактично використовують невідповідну для цього платформу.
    • Тільки деякі програми розроблені з нуля з урахуванням всіх вимог безпеки, а також підтримуються в актуальному стані досить довго.
    • Коли трапляються інциденти безпеки, є проблеми з їх виявленням і аналізом.
    Повна версія даної статті доступна в форматі PDF .
    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua