Безопасность в веб-разработке: чек-лист

Специалисты веб-студии friendly.com.ua поделились с нашей редакцией своим чек-листом.

 Разработка надежных и безопасных облачных приложений считается достаточно трудной задачей. Если у вас другое мнение, то вы никогда не касались данной технологии. 

Если пользователь хочет выполнить создание сайта в Киеве за один месяц, то стоит трижды подумать о том, можно ли его запускать в глобальную сеть. Ознакомившись с чек-листом, можно увидеть, что здесь есть множество различных уязвимостей. 

Первым шагом, что вы можете сделать, – это предупредить пользователей о том, что сайт находится на стадии разработки, и высокий уровень безопасности вы гарантировать не можете. 

Чек-лист имеет достаточно простые характеристики. Здесь рассмотрены основные вопросы, которые необходимо знать для разработки сайтов в Киеве. Их нужно внимательно прочитать и ознакомиться с информацией.

База данных

Конфиденциальные данные и информация о пользователях должна храниться только в зашифрованном виде. Если в базе данных есть функция зашифрованного хранения, то данные также должны быть защищены на диске. Пользователь должен иметь минимальный доступ к учетным записям. Ни в коем случае нельзя использовать root права. Для распространения зашифрованных сведений нужно использовать приложение keystore, которое специально предназначается для данной цели. 

Разработка

Каждая версия должная быть проверена на наличие уязвимостей. Проверка обязательно имеет автоматизированные функции. Для создания программного обеспечения нужно применять только изолированную среду разработки.

Идентификация

Для хэшированя пароля применяется специальная функция (криптографическая). Для этого нужно поставить простые правила. Такая особенность приводит к тому, что посетитель сайта самостоятельно захочет ввести уникальный пароль. Для входа в систему используется многофакторная аутентификация.

Защита от хакерских атак

Ресурс должен иметь высокий уровень защиты от хакерских атак. Обязательно нужно обеспечить защиту таким местам, как токен и генерация логина. 

Веб-трафик

TLS сервис нужно применять не только для строки ответов и входа, но и для всего ресурса. Куки-сервисы должны иметь высокий уровень безопасности. 

API

В API не должно быть ресурсов, которые носят общедоступный характер. При использовании сервиса все пользователи должны быть распознаваемыми и авторизированными. 

Инфраструктура

Программное обеспечение всегда должно обновляться автоматически. Создание инфраструктуры должно осуществляться с помощью программы Terrform. Для всех служб применяется централизованное логирование. Для разовой диагностики можно использовать SSH. В остальных случаях использование данного сервиса невозможно. Порт 22 категорически запрещается оставлять открытым. 

Эксплуатация

Все сервисы и службы, которые не используются, можно отключить.

Тестирование

Всегда необходимо проводить аудит готовой продукции и проекта. Основным способом безопасности проверки сайта считается взлом. По этой причине можно попросить кого-то, чтобы сайт взломали. Так вы будите знать о главных ошибках и недочетах.

Для обеспечения высокого уровня защиты всегда моделируйте проблемную ситуацию и пути её исправления. Здесь можно выделить основные приоритеты угроз, которые могут привести к уничтожению ресурса. Также всегда должен быть запасной план, на случай неприятных инцидентов. 

Следуя таким простым шагам, вы всегда сможете создать интересный и посещаемый сайт, где любой пользователь сможет найти полезную информацию. Такой ресурс будет иметь высокий уровень посещаемости и станет популярным за короткий срок.