pondělí 31. března 2003

Falešný pocit bezpečí

Ovládá nás falešný pocit bezpečí? Tuto otázku jsem si položil v několika málo posledních dnech. V širším kontextu, mě k ní zavedla snad změna osobního firewallu. Nedokáži přesně odpovědět. Klademe dostatek pozornosti bezpečnosti webových aplikací? Investujeme dostatek peněz a lidského potenciálu do této elementární a žel bohu opomíjené vlastnosti?

Né všechno a všechny můžeme házet do jednoho pytle, ale je tu onen červík, děláme skutečně pro bezpečtnost našich aplikací vše co můžeme? S jednou otázkou přibývá další a s jídlem roste chuť, postavme se na počátek a definujme si co pro nás znamená bezpečtnost aplikace. Jsou to ošetřené vstupní parametry, utajení přenášených dat, složitost rekonstrukce požadavku, míra utajení jednotlivých elementů ....

Bezpečtnost aplikace si tak můžeme definovat jako množinu vlastností, které vzájemnou součiností napomáhají chránit určitou entitu nebo entity.Právě jednotlivé bezpečtnostní mechanismy ve vzájmené součinosti, mohou splnit tento nelehký úukol. Vždy bychom měli mít na paměti, že naše ochrana je tak silná jak je silný nejslabší článek bezpečntnostního řetězce avšak jednotlivá pravidla by neměla být spojena v řetěz, který lze přetrhnout nýbrž v kaskádu sít, kde prosetí jedním sítem neznamená prolomení celé ochrany.

Zajištění bezpečtnosti aplikací a aplikací webovských obzvlášť pro svoji transparentnost, bývá běh na dlouhou trať. Viděl jsem už mnoho návodů jak udělat aplikaci bezpečnější, většinou to jsou pouze střípky mozaiky. Není na škodu vědět o důležitosti omezení techniky vkládání částí SQL dotazů pomocí vstupních parametrů tzv. SQL injection, délky parametrů, autentifikace uživatele, autorizace jednotlivých akcí. Je třeba počítat vždy s horší variantou, že pravidlo nezafunguje nebo nebude dost silné a útočník se dostane dál.

Neklaďme si otázky .. kolik nás to bude stát nebo ... kolik času do toho budeme muset investovat, ale vážně přemýšlejme o volbě správných bezpečtnostních mechanismů. Pouze striktní dodržování předem stanovené bezpečtnostní politiky, umožňue odhalovat slabé místa našeho systému, psát testy, analyzovat problémy, hledat rizika a stanovit další kritéria nebo chceteli síta. Nespoléhejme na již tolikrát profláknute security by obscurity, ale naopak, navrhněme naší bezpečtnostní politiky, zásady, transparentně. Jedině tak můžeme dosáhnout jejího, pochopení a akceptování ze strany klienta.

Pokud si budeme namlouvat, že jsme schopni vytvořit a nebo dokonce máme bezpečný systém, dostaví se u nás onen falešný pocit bezpečí. Pokud svým pocitům chcete věřit, vydejte se na dlouho trnitou cestu a na koci možná neleznete odměnu. Sladké plody, vykoupení, jež jste po dobu cesty investovaly do bezpečtnosti vašich webových aplikací. Snad jen pozor, aby plody po chvilce nezhořkly a v ústech nezbyla jen pachuť něčeho co nebylo zrálé.