Обеспечение безопасности веб-приложения перед его использованием

8

Как можно проверить безопасность и легитимность веб-приложения перед тем, как получить к нему доступ?

security Woot4Moo
источник

Ответы:

5

В ответе Дхалка есть хорошая информация, но я думаю, что она вторична.

Давайте начнем с некоторых основ:

Это работает на https ? Посмотри в своей адресной строке. Если URL начинается с https, то трафик в и из этого приложения шифруется.

Тот факт, что он работает по протоколу https, не гарантирует его безопасность. Компания (или человек), создавший сайт, имеет полный доступ к любой информации, которую вы отправляете.

Изучите сертификат. Дважды щелкните значок замка, чтобы увидеть информацию о сертификации (положение замка зависит от браузера к браузеру). Посмотрите, кому выдан сертификат. Если название компании не кажется знакомым, выполните поиск в Google, чтобы выяснить, каковы отношения между владельцем сертификата и службой.

Ищите политику конфиденциальности. Это должно указать, что они делают с информацией, которую вы им предоставляете. Конечно, это не гарантирует, что они будут подчиняться заявленной политике.

Исследуйте его репутацию. Сделайте некоторые поиски Google и Twitter. Попробуйте что-то вроде «не доверяйте X» или «безопасность X» (где X - сервис)

В общем, вы ищете последовательную картину, которая предполагает, что операторы сайта являются открытыми и заслуживающими доверия. Это все еще не гарантия, но это хорошее начало, прежде чем вы разглашаете личную информацию.

Даг Харрис
источник
Спасибо за вклад в это в качестве продолжения, я задал еще один конкретный вопрос, на котором вы можете помочь: webapps.stackexchange.com/questions/807/…
Woot4Moo
Достойный ответ, но проблемы Дхалка совсем не второстепенны. Атаки с использованием межсайтовых сценариев являются хорошим способом угона вашего компьютера неизвестными лицами, поэтому его рекомендация по NoScript очень важна.
Скотт Лоуренс
Да, что касается NoScript, единственное место, где я не использую его, это здесь, на работе, так как я веб-разработчик, и я обычно просто смотрю на Google, переполнение стека и сайты, которые я создал, так что я на данный момент не так сильно беспокоятся о скриптовых атаках.
Блэр Скотт
Я не хотел сказать, что заботы Дхалка были менее важными. Вместо этого я имел в виду, что есть другие пункты, которые я бы изучил первым. NoScript - очень хорошее решение для тех из нас, кто понимает, что он делает. Я думаю, что подавляющее большинство веб-пользователей не знают, не заботятся и не должны знать, что обрабатывается сценариями по сравнению со статическим HTML. С установленным NoScript эти пользователи будут озадачены явно неработающим сайтом.
Даг Харрис
Совершенно верно, я часто забываю себя, что у меня это работает, и всегда возникают небольшие разочарования, когда я посещаю новый сайт, и он не работает. Это не то, что новички захотят использовать на самом деле.
Блэр Скотт
4

То, что вы ищете, может быть немного сложным. Тем не менее, если вы используете Firefox, есть несколько вещей, которые я делаю, чтобы защитить себя от страниц, которых раньше не было.

Во-первых, я использую дополнение NoScript для Firefox. Он не позволяет Javascript работать на сайтах, которые вы явно не разрешаете.

Во-вторых, я только что столкнулся с этим несколько дней назад, HTTPS Everywhere переключает вас на HTTPS-версию нескольких сайтов, которая обеспечит вам большую безопасность. Кроме того, вы можете добавить столько наборов правил, сколько захотите, чтобы любой сайт, с которым вы сталкиваетесь и хотите использовать версию HTTPS (должна быть доступна, конечно), вы можете.

Надеюсь это поможет.

Блэр Скотт
источник
HTTPS Everywhere - это отличное предложение. Они делают расширение для Chrome?
jinsungy
Не уверен, правда, я только что узнал об этом недавно, но я надеюсь, что так.
Блэр Скотт
Я посмотрю на HTTPS Везде
Woot4Moo
я не могу видеть, как существование https обеспечивает безопасность веб-приложения. вы передаете им зашифрованные вещи, а за вашей спиной они продают данные. может быть, я не понял значение вопроса в первую очередь ...
Акира
@akira это не совсем так, но безопасность веб-приложения - это не все, что вам нужно. На самом деле не существует способа обеспечить безопасность ваших данных, поскольку даже люди, которые утверждают, что позаботились о вашей информации (помните Google), могут случайно сделать что-то с вашими данными, что вы бы предпочли не делать.
Блэр Скотт
4

Предлагая некоторые нетехнические моменты, которые вы могли бы рассмотреть в дополнение к мерам безопасности, упомянутым другими. Они требуют, чтобы вы в какой-то степени пользовались сайтом, поэтому вам нужно быть готовым к просмотру отдельных частей сайта, поэтому, если вы действительно беспокоитесь, вы можете сначала принять меры предосторожности (без сценария, отключение файлов cookie и т. Д.).

  • На странице « Контакты» указан физический адрес и номер телефона компании.
  • Все ссылки указывают на то, на что, как они утверждают, указывают - проверьте, что URL в строке состояния соответствует ожидаемому.
  • Они позволяют вам просматривать сайт перед регистрацией. Хотя вы не можете ожидать доступа ко всему контенту, вы должны иметь возможность просматривать некоторые из них - изображения с низким разрешением, первые абзацы статей и т. Д.
  • Любые расходы четко указаны до регистрации.
  • Существует бесплатный вариант, который позволяет получить доступ к некоторому контенту.
  • Сайт не должен просить вас установить что-либо на ваш компьютер.

Хотя я не ожидаю, что все они будут присутствовать всегда (кроме страницы «Свяжитесь с нами») - в конце концов, каждый сайт отличается - я бы ожидал, что некоторый контент будет бесплатным.

ChrisF
источник
1

Вы никогда не можете быть уверены на 100%.

Различные браузеры могут помочь вам по-разному:

IE имеет несколько функций безопасности

Как и Firefox

И Chrome тоже

Все три имеют функцию, которая обнаруживает возможные вредоносные программы, фишинг, устаревшие или плохие сертификаты.

Shevek
источник
0

Моя главная задача - безопасность, а не легитимность. Иногда сайт просто настолько новый, что вы не найдете много об этом.

В целях безопасности я бы проверил, предотвращает ли сайт XSS, CSRF, обратный путь в каталогах, переполнение буфера, SQL-инъекцию и т. Д. Существуют различные способы тестирования любого из перечисленных выше эксплойтов, и любой сайт, который не прошел тест, следует с беспокойством рассматривать.

cherrypj
источник
0

Установите WOT или SiteAdvisor или найдите сайт на их сайте. Перейти на страницу сайта и прочитать отзывы.

Желатин
источник