Hoppa yfir valmynd

6.2 Öryggi veflausna

6.2.1. Öryggi veflausna

Öryggi veflausna hefur verið mikið í kastljósinu undanfarin ár. Miklu skiptir að þeir sem hanna, forrita og framkvæma úttektir á veflausnum séu meðvitaðir um helstu áhættuþætti. OWASP gefur reglulega út lista yfir 10 helstu áhættuþættina er snúa að veflausnum og er sá listi þekktur sem „OWASP top 10“.

Þar kemur fram að helstu mistökin eru eftirfarandi:

  • Treysta í blindni inntaki frá notanda eða hugbúnaði. Fjöldi árása misnota veikleika þegar gögnum er treyst í blindni, til dæmis innspýtingarárásir og CSS (e. Cross site scripting) árásir.
  • Fylgja ekki bestu starfsvenjum er kemur að því að útfæra auðkenningu, aðgangsstjórnun (e. Access control) og lotustjórnun.
  • Illa er staðið að öryggisstillingum veflausna, stýrikerfa og/eða netkerfa. Hér má tína til nokkur dæmi: Sjálfgefnum notendanöfnum og lykilorðum er ekki breytt. Þjónustur sem eru ekki í notkun og teljast óþarfar eru ekki gerðar óvirkar. Notaður er gamall hugbúnaður sem er ekki lengur studdur af framleiðanda (stýrikerfi, gagnagrunnar, veflausnir, forrit, kóðasöfn (e. Libraries). Nánari upplýsingar er að finna í OWASP top10 – A5.
  • Notaðir eru íhlutir (e. Software Components) með þekktum öryggisgöllum.

Við þróun veflausnar skiptir miklu máli að unnið sé eftir formlegu hugbúnaðarþróunarferli, til dæmis hefur SCRUM aðferðafræðin notið vinsælda undanfarin ár. Æskilegt er að koma á forritunarvenjum þar sem meðal annars er tekið á notkun athugasemda og hvernig eigi að skilgreina og nefna föll og breytur. Æskilegt er að formlegri breytingastjórnun sé komið á og að allar breytingar séu rýndar og prófaðar áður en þær eru samþykktar í raunumhverfi og þá sérstaklega með tilliti til öryggisþátta.

Ítarefni

Var efnið hjálplegt?Nei
Takk fyrir

Ábendingin verður notuð til að bæta gæði þjónustu og upplýsinga á vef Stjórnarráðsins. Hikaðu ekki við að hafa samband ef þig vantar aðstoð.

Af hverju ekki?

Hafa samband

Ábending / fyrirspurn


Þessi síða notar vafrakökur Lesa meira