Ajax Bezpieczne aplikacje internetowe.pdf
(
541 KB
)
Pobierz
Ajax. Bezpieczne
aplikacje internetowe
Autor: hristopher Wells
T³umaczenie: Piotr Rajca
ISBN: 978-83-246-1373-1
Tytu³ orygina³u:
Securing Ajax Applications:
Ensuring the Safety of the Dynamic Web
Format: B5, stron: 248
Otwarte Ÿród³a danych a bezpieczeñstwo aplikacji
•
Jak zabezpieczyæ przep³yw danych klient-serwer?
•
Jak strzec serwera aplikacji przed atakami?
•
Jak przewidzieæ i przeciwdzia³aæ potencjalnym zagro¿eniom
w dynamicznych aplikacjach?
Otwartoœæ i bezpieczeñstwo, utopijne po³¹czenie s³ów, a zarazem nieodwracalna
przysz³oœæ sieci internetowej. Wspó³dzielenie zasobów niesie ze sob¹ szereg zagro¿eñ
na ró¿nych warstwach sieciowych. Efektywniej jest przewidzieæ potencjalne zagro¿enia
na etapie tworzenia aplikacji i zapobiec im, ni¿ póŸniej ³ataæ dziury w oprogramowaniu.
Ka¿dy programista tworz¹cy oprogramowanie sieciowe ostatecznie bêdzie musia³
zmierzyæ siê z niepo¿¹dan¹ ingerencj¹ maj¹c¹ swoje Ÿród³o w sieci internetowej. B¹dŸ
na to przygotowany i nie daj siê zaskoczyæ, wykorzystaj wiedzê zawart¹ w tej ksi¹¿ce.
Ksi¹¿ka
„Ajax.
Bezpieczne aplikacje internetowe” traktuje o zagro¿eniach i sposobach
zabezpieczeñ aplikacji sieciowych, a szczególnie dynamicznych interfejsów API.
Przeznaczona jest zarówno dla programistów zaczynaj¹cych przygodê z Ajaksem,
jak i dla tych, którzy Ajaksa jeszcze nie znaj¹. Przyda siê ka¿demu, kto stoi na stra¿y
bezpieczeñstwa aplikacji sieciowych, uczy bowiem, jak zapobiegaæ zagro¿eniom
w trakcie pisania aplikacji oraz jak przeciwdzia³aæ im w ju¿ istniej¹cym oprogramowaniu
sieciowym.
•
Bezpieczeñstwo aplikacji sieciowych
•
Technologie zabezpieczeñ komunikacji klient-serwer
•
Zabezpieczenia na poziomie protoko³ów
•
Serwer WWW i zagro¿enia p³yn¹ce z internetu
•
Zabezpieczanie otwartych zasobów danych
•
Bezpieczeñstwo interfejsów API
•
Zagro¿enia bezpieczeñstwa w aplikacjach typu mushup
Wydawnictwo Helion
ul. Koœciuszki 1c
44-100 Gliwice
tel. 032 230 98 63
e-mail: helion@helion.pl
Twórz rozleg³e aplikacje sieciowe i zadbaj o ich bezpieczeñstwo?
Spis treści
Wstęp ........................................................................................................................................ 7
1. Ewoluująca Sieć ............................................................................................................11
Powstanie Sieci
12
2. Bezpieczeństwo aplikacji internetowych ................................................................... 41
Zagadnienia podstawowe
Analiza ryzyka
Często spotykane słabe punkty aplikacji internetowych
41
49
53
3. Technologie zabezpieczeń ..........................................................................................69
Jak witryny komunikują się ze sobą
Bezpieczeństwo przeglądarek
Wtyczki, rozszerzenia i programy dodatkowe
69
74
90
4. Zabezpieczanie serwera ............................................................................................113
Bezpieczeństwo sieci
Bezpieczeństwo komputera
Poprawianie zabezpieczeń serwera WWW
Poprawianie zabezpieczeń serwera aplikacji
114
117
135
143
5. Słabe podstawy ......................................................................................................... 145
Słabe punkty protokołu HTTP
Zagrożenia
JSON
XML
RSS
Atom
REST
146
151
159
161
164
165
168
5
6. Zabezpieczanie usług sieciowych .............................................................................. 171
Ogólne informacje o usługach sieciowych
Usługi sieciowe a bezpieczeństwo
Web Service Security
172
183
188
7. Tworzenie bezpiecznych interfejsów programowania ............................................191
Tworzenie własnych interfejsów API
Warunki wstępne
Warunki końcowe
Niezmienniki
Zagadnienia bezpieczeństwa
Usługi sieciowe w architekturze REST
192
197
197
197
198
201
8. Aplikacje typu mashup ..............................................................................................209
Aplikacje internetowe i otwarte internetowe interfejsy API
Dzika Web 2.0
Aplikacje typu mashup a bezpieczeństwo
Otwarte kontra bezpieczne
Bezpieczna przytulanka
Studium przypadków
211
212
214
218
219
222
Skorowidz .............................................................................................................................233
6
|
Spis treści
ROZDZIAŁ 2.
Bezpieczeństwo aplikacji internetowych
W rozdziale 1. opisano, jak powstała Sieć oraz w jaki sposób działa. Ważne jest, by zapamiętać,
że
nowoczesna Sieć bazuje na grupie abstrakcji programowych oraz
że
tworzenie godnych
zaufania i bezpiecznych aplikacji internetowych wciąż wymaga od programistów znajomości
podstawowego protokołu i infrastruktury.
W niniejszym rozdziale dokładniej poznasz zasady działania mechanizmów zabezpieczeń
oraz możliwości ich zastosowania w aplikacjach internetowych. Jeśli aplikacja działa w Inter-
necie, to znajduje się w pierwszej linii Twojej firmowej lub domowej sieci. Można by ją po-
równać z drzwiami do
świata
zewnętrznego, przez które odwiedzający mogą wejść i spraw-
dzić, co masz do zaoferowania. Twoja aplikacja musi zatem być bezpieczna, a Ty sam musisz
mieć
świadomość
zagrożeń, na jakie naraża ona Twoją sieć.
Zagadnienia podstawowe
Wyobraź sobie strażnika przechadzającego się nocą po słabo oświetlonych korytarzach jakie-
goś biurowca. Kiedy strażnik wchodzi do kolejnych pomieszczeń, oświetla je latarką, szuka-
jąc wszystkiego, co mogłoby się wydać podejrzane, po czym zamyka drzwi i idzie dalej.
Strażnik wykonuje te czynności każdej nocy, zapewniając dzięki temu bezpieczeństwo bu-
dynku i znajdującym się w nim biur.
Cóż, aplikacje internetowe zazwyczaj nie mają takich strażników. Nie ma nikogo, kto mógłby
zabezpieczyć je przed potencjalnymi włamywaczami.
Potrzeba wbudowania zabezpieczeń
A zatem co można zrobić? Pierwsze, co mogą zrobić programiści, to zauważyć konieczność
wyposażenia aplikacji w mechanizmy zabezpieczeń. Oprócz tego należy się upewnić, co tak
naprawdę wymaga ochrony. Gdzie aplikacja zaczyna się, a gdzie kończy? Jaka jest jej po-
wierzchnia? Jeśli Twoja aplikacja przypomina typowe aplikacje internetowe, to składa się
z trzech podstawowych elementów, które opiszę w dalszej części rozdziału.
41
Oczekuj niespodzianek
Alarm!
Internetowi napastnicy próbują włamać się do naszej aplikacji. Używają aplikacji
w nieprzewidziany sposób, by doprowadzić do wystąpienia błędów i innych sytuacji, które
mogliby wykorzystać do swoich celów. Sytuacji, których nikt nie przewidział, niemal zawsze
stanowią zagrożenie bezpieczeństwa.
Czy pamiętasz strażnika? Patroluje on budynek, szukając w nim wszystkiego, co odbiega od
normy. Doskonale wie,
że
jeśli coś znajdzie się
nie
na swoim miejscu, to na pewno coś musiało
do tego doprowadzić. Oczywiście inteligentny włamywacz czeka do momentu, gdy strażnik
sprawdzi wszystkie pomieszczenia, i zaatakuje dopiero
później.
Podmioty
Podmioty
to wszyscy używający aplikacji. Oczywiście, najpopularniejszymi podmiotami będą
zwyczajni użytkownicy (czyli osoby odwiedzające aplikację), jednak mogą to także być inne
programy korzystające z usług sieciowych lub udostępnionego, zewnętrznego interfejsu pro-
gramowania (API). Niezależnie od rodzaju podmioty zawsze są „bytami” zewnętrznymi ko-
rzystającymi z systemu.
Wyobraźmy sobie,
że
dysponujemy witryną WWW zajmującą się sprzedawaniem różnego
typu kontrolek do aplikacji. Witryna implementuje zwyczajny koszyk zakupów oraz usługę
sieciową.
Takiej aplikacji mogą używać dwa odrębne typy podmiotów:
Klienci:
Czyli osoby, które zajrzały na witrynę, by kupić któryś z oferowanych produktów, uży-
wając przy tym koszyka do zakupów.
Partnerzy:
Programy korzystające z usług sieciowych do zarządzania produktami i wchodzące
w skład większej, złożonej aplikacji.
Gdyby coś miało pójść nie tak, chcielibyśmy wiedzieć, co się zdarzyło i kto doprowadził do
wystąpienia problemów. Wyobraź sobie dowolny film kryminalny — podmiotami byliby
wszyscy objęci dochodzeniem.
Obiekty
Obiektami
nazywamy wszelkie zasoby aplikacji. Zazwyczaj będą to należące do niej dane,
lecz mogą to być także pliki, połączenia, usługi oraz wszelkie inne rzeczy, które mają dla niej
jakąś wartość lub które do niej należą.
W naszym przykładzie obiektami będą takie rzeczy, jak prywatne dane klientów, dane do-
stawców, firmowe dane zgromadzone w bazie danych oraz same sprzedawane kontrolki.
Innymi słowy, obiekty te można by porównać do przeróżnych cennych drobiazgów prze-
chowywanych przez ojca w kredensie.
Przyglądając się tym wszystkim obiektom i danym, należy zadać sobie pytanie, czy trzeba
zachować ich poufność? Czy aplikacja powinna je w jakiś sposób zabezpieczać? Jakie będą
konsekwencje dla Ciebie lub firmy, jeśli te dane pojawią się nagle wystawione na sprzedaż
na jakiejś witrynie w byłym Związku Radzieckim?
|
42
Rozdział 2. Bezpieczeństwo aplikacji internetowych
Plik z chomika:
zznn
Inne pliki z tego folderu:
3ds max 6 Skuteczne rozwiazania.pdf
(8468 KB)
125 pytan na temat e biznesu do Piotra Majewskiego.pdf
(11275 KB)
100 rzeczy ktore kazdy projektant powinien wiedziec o potencjalnych klientach.pdf
(1427 KB)
100 rzeczy ktore kazdy projektant powinien wiedziec o potencjalnych klientach Wydanie II.pdf
(1923 KB)
10 projektow w cyfrowej ciemni fotograficznej.pdf
(753 KB)
Inne foldery tego chomika:
Pliki dostępne do 08.07.2024
Pliki dostępne do 21.01.2024
! # Wrzucone - sprawdzone i pełne Ebooki #
!ebooki teologiczne zbiorczo!
!Teologia katolicka - teksty
Zgłoś jeśli
naruszono regulamin