
Högaktuellt med IT-säkerhet
Data- och IT-säkerhet är viktigare än någonsin. En viktig del av arbetet med IT-säkerhet handlar om att förstå olika hotbilder, hantera sannolikheter för att utsättas för skada samt att balansera kostnader för motmedel för skydd mot värdet av det man skyddar.
De flesta företag idag förväntas ha grundläggande skydd mot IT-attacker och en strategi inom cyber security. Som webbutvecklare är man oftast den som får implementera det yttersta skyddet i webbapplikationer. Här är några tips att tänka på:
- Säkra upp indatan!
Se till att er arkitektur för all indata från användarna stödjer en säker hantering för att förhindra attacker genom SQL-injections och cross-site-scripting (XSS). Dessa är bland de vanligaste typerna av attacker för att som obehörig komma åt data. Den här typen av attacker är enkla att automatisera för att hitta lätta offer som har säkerhetsluckor, så se till att validera indata både på klient-sidan och server-sidan!
- Skydda era lösenord och använd MFA
Det är en säkerhetsstandard idag att lösenord sparas krypterade/hashade i databaser. Trots det dyker det med jämna mellanrum upp skandaler där stora företag har lyckats läcka tabeller med lösenord i ren text. Tänk på att även gå igenom legacy-servrar och test-miljöer när det gäller lagring av data! Beroende på vilken typ av tjänst som ni tillhandahåller är det kanske värt att införa multifactor authentication (MFA)? Det är ett mycket effektivt skydd både mot konto-kapningar och brute force attacker.
- Testa och logga kritiska funktioner
Testa regelbundet under utvecklingen, gärna med automatiska tester. Det finns verktyg som hackare använder för att automatisera penetrations-attacker. Använd dem mot er själva för att upptäcka säkerhetshål! Bygg in loggning av kritiska funktioner i er webbapplikation från början. T.ex. inloggningar, ändringar av användar-privilegier o.dyl. - Missa inte det löpande underhållet
Den här punkten är mer riktad till de som sköter driften efter utvecklingen. System som ligger live behöver underhållas för att bibehålla säkerheten; Låt inte de digitala certifikaten löpa ut. Rensa gamla konton och användardata. Byt lösenord. Använder ni en systemplattform? Uppdatera tredjeparts-system med säkerhetspatchar så snart som möjligt.
Om du är mer intresserad av säkerhet inom webbutveckling så kan vi rekommendera att läsa OWASP Top Ten som i detalj går igenom de mest aktuella säkerhetsriskerna och hur man kan skydda sig.
Vill man ha en hands-on kom-i-gång-kurs så har Stockholms Tekniska Institut distans-kurser i IT-säkerhet för webbutvecklare.