Biztonságos kódolás

Egyre többször hallani, hogy bizonyos cégek hackelés áldozatai lettek és így újabb helyről szivárogtak ki adatok. Nézzük meg, mit tehetünk ennek elkerülése érdekében már projekttervezés és programozás szinten. Hogyan lehet minél biztonságosabb a kódolás?

Készítsünk kockázati modellt a készülő szoftverről

Ez lényegében azt takarja, hogy leülünk és átvizsgáljuk a szoftver terveit sérülékenységeket keresve. Ennek egy módszere, hogy végig követjük az adat áramlását a szoftverben és minden ponton megvizsgáljuk milyen veszélyek leselkednek rá, milyen ismert rések kihasználásával lehetne hozzáférni, mivel próbálkozhatnak a bűnözők. Majd az így összegyűjtött kockázatokat rangsoroljuk és terveket készítünk a kiküszöbölésükre. Az így elkészült modellt pedig frissen tartjuk, minden változás esetén újra vizsgáljuk.
Ennek a lépésnek a lényege, hogy a biztonságot már beletervezzük a rendszerbe és nem csak a projekt végén adjuk hozzá (ha jut rá idő…).

Automatizálás és kódolás

Azzal, hogy automatizálunk amit csak lehet, egy nagyon fontos hibaforrástól szabadulhatunk meg. Ez pedig az emberi hiba. Legyen egy szakember bármennyire is ügyes, csak idő kérdése, hogy becsússzon a kódolás során egy apróbb hiba, egy melléütés, egy kihagyott lépés, stb. Ez ugyebár egy automatizált folyamat esetén nem történhet meg. Az minden alkalommal pontosan úgy fog mindent végrehajtani, ahogy az meg lett írva. Az automatizálási folyamat részeként a kódunknak is teszteltnek kell lennie, és emellett maga a folyamat is le lesz tesztelve, hogy csak biztosan működő rendszert adjunk ki a kezünk közül.

Kódolás egyszerűen

Próbáljuk a rendszerünket minél egyszerűbbre kialakítani. Lehet készíteni lenyűgöző rendszereket készíteni aminek csodájára járnak a világ minden részéről, de azok az esetek túlnyomó részében annak egy átláthatatlan, kezelhetetlen bestia lesz a vége. Sokkal előrébb vagyunk egy egyszerű, átlátható rendszerrel, hiszen abban könnyebben észrevehetjük, ha valami probléma vagy hiba van. Nem utolsó sorban lényegesen egyszerűbb szükség esetén változtatni rajta.

Titkosítás

A titkosítás több szempontból is hasznos. Egyrészt, ha valaki esetleg lehallgatja az általunk használt internetes – vagy egyéb mások által is elérhető – kommunikációs csatornáinkat, akkor sem tudja kinyerni az adatainkat. Másrészt pedig, ha megtörtént a baj és kiszivárogtak adatok tőlünk, akkor még mindig jobb helyzetben vagyunk, ha a megszerzett adatokhoz nem lehet hozzáférni a titkosítás miatt. Persze ennek is csak akkor van értelme, ha jól csináljuk.

Pár fontos részlet, amire figyelni kell:

Ne találjunk ki saját titkosítási algoritmusokat! Kivéve persze, ha valaki kimondottan ezzel foglalkozik. De ha nem így van, akkor használjuk a közismert és ami fontosabb, bizonyítottan biztonságos algoritmusokat. Figyeljünk arra is, hogy ezeket is felül kell vizsgálni időnként, hogy biztonságosak-e még.
A titkosításhoz használt kulcsokat is biztonságosan tároljuk! Például direkt az erre a célra tervezett kulcstároló programokban. Ezeket a kulcsokat ne tároljuk együtt a titkosított adattal és semmiképp se „égessük” bele őket a kódba.
Nézessük át egy szakemberrel! Ő észrevehet olyan dolgokat amiket mi kihagytunk vagy rosszul csináltunk, elvégre az a munkája, hogy ő jobban értsen ehhez mint mi. A „legrosszabb” esetben is maximum az derül ki, hogy elég alaposak voltunk.

Sose bízzunk a felhasználóban

Oké, ez elsőre egy kicsit erősnek tűnhet. De vegyük számba, hogy a felhasználónk nem biztos, hogy mindig az, akire mi számítunk. Ha túl sok jogosultságot adunk a felhasználóknak, akkor egy illetéktelen kezében azok a jogosultságok óriási károkat okozhatnak. Avagy a valós felhasználó esetén is fennáll ez a veszély, ha véletlenül valami károsat csinál. Azzal most ne is foglalkozzunk, hogy ha szándékosan teszi ezt. Tehát igyekezzünk a lehető legkevesebb jogosultságot megadni a felhasználóink számára ezáltal csökkentve a felületet, amin keresztül a rendszerünk támadható.

Hogy egy példát is hozzak az ilyen veszélyekre: képzeljük el, hogy van egy SQL adatbázisunk, amiben a felhasználóink adatait tároljuk, illetve van egy online felületünk, ahol új felhasználókat regisztrálunk. Ezen a felületen bekérjük az új felhasználó nevét, és azt eltároljuk az adatbázisba. Ez ugye egy átlagos felhasználó esetén nem okoz problémát, maximum hibásan adja meg a nevét. Viszont az alábbi név megadása esetén komoly problémákba futhatunk: „Gipsz Jakab; DROP TABLE felhasználók;”. Ugyanis a név megadása után kiadtunk egy parancsot is, ami törli a felhasználókat az adatbázisból. Amennyiben a regisztrációs felületünkön nincs jól lekezelve a név megadása ez bizony egy eléggé valós probléma (még ha le is van egyszerűsítve).

Remélem, sokaknak nem kell manapság már ecsetelni, hogy mennyire fontos a rendszereink biztonsága. De ha már egy ember is elgondolkozott azon, hogy ezentúl komolyabban veszi a dolgot, akkor már megérte leírnom ezt a pár sort.

Süti	Típus	Időtartam	Leírás
bcookie	0	2 years	Ezt a sütit a LinkedIn állítja be. A süti célja, hogy engedélyezze a LinkedIn funkciókat az oldalon.
language	0		Ez a süti a felhasználó által használt nyelvet segít megjegyezni.
mid	0	9 years	A sütit az Instagram állítja be. A cookie a felhasználók megkülönböztetésére és a releváns tartalom megjelenítésére szolgál a jobb felhasználói élmény és a biztonság érdekében.
rur	1		Amikor a bővítmény gyorsítótára kiürül, és a plugin kérést indít az Instagram API-jához, hogy új bejegyzéseket tudjon betölteni (api.instagram.com), a rur cookie-t állítja be a böngészőbe az API-hoz való kapcsolódás érvényesítéséhez, ez lehetővé teszik, hogy a weboldalon keresztül AJAX kérést adjon le az Instagram API-ra. Ezek a cookie-k nem adnak át vagy tárolnak személyes adatokat. Csak az első oldal betöltésére használják a bővítmény gyorsítótárának lejártát követően. A későbbi oldalbetöltések a WordPress adatbázisában tárolt adatokat tárolják, így az Instagram API-jához nem kell kapcsolódni.
SERVERID	0

Süti	Típus	Időtartam	Leírás
__utma	0	2 years	Ezt a sütit a Google Analytics állítja be, és a felhasználók és a munkamenetek megkülönböztetésére szolgál. A süti akkor jön létre, amikor a JavaScript könyvtár végrehajtásra kerül, és nincsenek létező __utma sütik. A süti minden alkalommal frissül, amikor az adatokat elküldi a Google Analyticsnek.
__utmb	0	30 minutes	A cookie-t a Google Analytics állítja be. A cookie az új munkamenetek / látogatások meghatározására szolgál. A süti akkor jön létre, amikor a JavaScript könyvtár végrehajtásra kerül, és nincsenek létező __utma sütik. A süti minden alkalommal frissül, amikor az adatokat elküldi a Google Analyticsnek.
__utmc	0		A cookie-t a Google Analytics állítja be, és törli, amikor a felhasználó bezárja a böngészőt. A sütiket a ga.js nem használja. A sütik lehetővé teszik az együttműködést az urchin.js-vel, amely a Google elemzés egy régebbi verziója, és amelyet az __utmb sütivel együtt használ új munkamenetek, ill. látogatások meghatározására.
__utmt	0	10 minutes	A Google Analytics által létrehozott saját sütit a felhasználói kérések feldolgozására és a webhely forgalmára vonatkozó statisztika készítésére használják.
__utmz	0	6 months	Ezt a sütit a Google elemzése állítja be, és azt a forgalmi forrást vagy kampányt tárolja, amelyen keresztül a látogató eljutott a webhelyre.
_gat	0	1 minute	Ezt a sütit a Google Universal Analytics telepítette a kérelem arányának csökkentésére, hogy korlátozza az adatgyűjtést a nagy forgalmú webhelyeken.
YSC	1		Ezeket a sütiket a Youtube állítja be, és a beágyazott videók megtekintésének követésére szolgálnak.

Süti	Típus	Időtartam	Leírás
_	0		Ezt a sütit a Facebook állítja be.
__asc	0	30 minutes
__qca	0	1 year	Ez a süti a Quantcasthoz társul, és anonimizált adatok gyűjtésére szolgál a különböző webhelyek naplózási adatainak elemzésére, jelentések készítésére, amelyek lehetővé teszik a webhelyek tulajdonosai és hirdetői számára a megfelelő közönségszegmensek hirdetéseinek biztosítását.
_fbp	0	3 months	Ezt a cookie-t a Facebook hirdetési termékek kézbesítésére használja azon személyek részére, akik a Facebook vagy a Facebook Advertising valamely digitális felületét böngészve weboldalunkat felkeresték. További információ: www.facebook.com/about/privacy
cref	0	1 year
fr	1	3 months	A sütiket a Facebook állítja be, hogy a felhasználók számára releváns hirdetéseket jelenítsen meg, valamint a hirdetéseket mérje és javítsa. A süti nyomon követi a felhasználó viselkedését az interneten keresztül azokon a webhelyeken, ahol Facebook pixel vagy Facebook közösségi plugin található.
IDE	1	2 years	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden egyéb hirdetést, mielőtt meglátogatná a weboldalt. Ezt arra használják, hogy a felhasználóknak olyan felhasználói hirdetéseket jelenítsenek meg, amelyek a felhasználói profil szerint számukra relevánsak.
mc	0	1 year	Ez a süti a Quantserve-hez kapcsolódik, hogy névtelenül nyomon tudja követni, hogy a felhasználó hogyan működik együtt a weboldallal.
uid	0	1 year	Ez a süti anonim módon méri a webhely látogatói számát és viselkedését. Az adatok tartalmazzák a látogatások számát, a webhely látogatásának átlagos időtartamát, a meglátogatott oldalakat stb., a célzott hirdetések felhasználói preferenciáinak jobb megértése céljából.
VISITOR_INFO1_LIVE	1	5 months	Ezt a sütit a Youtube állította be. A webhely beágyazott YouTube-videóinak nyomon követésére szolgál.
vuid	0	2 years

Süti	Időtartam	Leírás
__auc	1 year	Az Alexa Analytics cookie a felhasználói viselkedést követi.
_ga	2 years	Ezt a sütit a Google Analytics telepítette. A süti kiszámítja a látogatók, a munkamenetek, a kampány adatait és nyomon követi a webhely használatát az oldal elemzési jelentésében. A sütik névtelenül tárolnak információkat, és véletlenszerűen generált számot rendelnek az egyedi látogatók azonosításához.
_gid	1 day	Ezt a sütit a Google Analytics telepítette. A süti arra szolgál, hogy tárolja az információkat arról, hogy a látogatók hogyan használják a weboldalt, és segít egy elemző jelentés elkészítésében arról, hogy a weboldal hogyan működik. Az összegyűjtött adatok tartalmazzák a látogatók számát, a forrást, ahonnan származnak, és az oldalak névtelen formában készültek.
_hjid	11 months	Ezt a sütit a Hotjar állította be. Ezt a sütik akkor állítják be, amikor az ügyfél először egy oldalra kerül a Hotjar szkripttel. A véletlenszerű felhasználói azonosító megmaradására szolgál, amely a böngészőben az adott webhelyre egyedi. Ez biztosítja, hogy az ugyanazon webhely későbbi látogatásainak viselkedése ugyanahhoz a felhasználói azonosítóhoz legyen hozzárendelve.
_hjIncludedInSample		Ez a süti úgy van beállítva, hogy értesítse a Hotjart arról, hogy a látogató szerepel-e a mintában, amelyet hőtérképek, tölcsérek, felvételek stb. előállítására szolgál.
GPS	30 minutes	Ezt a sütit a Youtube állítja be, és egy egyedi azonosítót regisztrál a felhasználók követésére a földrajzi helyzetük alapján.

Süti	Típus	Időtartam	Leírás
_uv_id	0	2 years	Ezt a sütit a SlideShare állította be.
ig_did	1	9 years
UIDR	0	1 year	Ez a süti a scorecardresearch.com webhelyre van beállítva. A sütik segítségével nyomon követhetők a felhasználók internetes tevékenységei a böngészőben, például a látogatási időbélyeg, az IP-cím és a legutóbb meglátogatott weboldalak. Illetve elküldheti az adatokat harmadik félnek elemzésre és jelentésre, hogy segítsék ügyfeleiket a felhasználói preferenciák jobb megértésében.

Biztonságos kódolás

Készítsünk kockázati modellt a készülő szoftverről

Automatizálás és kódolás

Kódolás egyszerűen

Titkosítás

Sose bízzunk a felhasználóban

About The Author

Keresés

Legutóbbi bejegyzések

Archives

Süti	Típus	Időtartam	Leírás
__utma			This cookie is set by Google Analytics and is used to distinguish users and sessions. The cookie is created when the JavaScript library executes and there are no existing __utma cookies. The cookie is updated every time data is sent to Google Analytics.
__utmb			The cookie is set by Google Analytics. The cookie is used to determine new sessions/visits. The cookie is created when the JavaScript library executes and there are no existing __utma cookies. The cookie is updated every time data is sent to Google Analytics.
__utmc			The cookie is set by Google Analytics and is deleted when the user closes the browser. The cookie is not used by ga.js. The cookie is used to enable interoperability with urchin.js which is an older version of Google analytics and used in conjunction with the __utmb cookie to determine new sessions/visits.
__utmt			The cookie is set by Google Analytics and is used to throttle request rate.
__utmz			This cookie is set by Google analytics and is used to store the traffic source or campaign through which the visitor reached your site.
_gat			This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.
YSC			This cookies is set by Youtube and is used to track the views of embedded videos.

Süti	Típus	Időtartam	Leírás
__auc			This is an Alexa Analytics cookie that is used to track user behavior.
_ga			This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid			This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
_hjid			This cookie is set by Hotjar. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInSample			This cookie is set to let Hotjar know whether that visitor is included in the sample which is used to generate Heatmaps, Funnels, Recordings, etc.
GPS			This cookie is set by Youtube and registers a unique ID for tracking users based on their geographical location

Süti	Típus	Időtartam	Leírás
			This cookie is set by Facebook. The purpose of the cookie is not known yet.
__asc
__qca			This cookie is associated with Quantcast and is used for collecting anonymized data to analyze log data from different websites to create reports that enables the website owners and advertisers provide ads for the appropriate audience segments.
_fbp			This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
cref
fr			The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.
IDE			Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
mc			This cookie is associated with Quantserve to track anonymously how a user interact with the website.
uid			This cookie is used to measure the number and behavior of the visitors to the website anonymously. The data includes the number of visits, average duration of the visit on the website, pages visited, etc. for the purpose of better understanding user preferences for targeted advertisments.
VISITOR_INFO1_LIVE			This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
vuid

Süti	Típus	Időtartam	Leírás
bcookie			This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
language			This cookie is used to store the language preference of the user.
mid			The cookie is set by Instagram. The cookie is used to distinguish users and to show relevant content, for better user experience and security.
rur			The cookie is set by instagram to enable the user to browse through the website securely by preventing any cross-site request forgery.
SERVERID

Biztonságos kódolás

Készítsünk kockázati modellt a készülő szoftverről

Automatizálás és kódolás

Kódolás egyszerűen

Titkosítás

Sose bízzunk a felhasználóban

About The Author

Related Posts

Keresés

Címkék

Legutóbbi bejegyzések

Archives