Infoter.eu cikkajánló

Nincs megjeleníthető elem

Friss kommentek

Válogatás az infoter.eu legolvasottabb cikkeiből

Nincs megjeleníthető elem


'12 sze
24
08:05

Webes alkalmazások biztonsági problémái

ferenck

alkalmazasprogramozas.jpgA weboldalak több mint fele – egyes felmérések szerint legalább 70 százalékuk – rendelkezik a vállalati és a személyes adatokat veszélyeztető biztonsági résekkel. Például a honlapokat összekötő programozási felületek lehetővé teszik a kapcsolatot, interakciók sorát, viszont hackerek számára is aranybányát jelentenek. Támadásaik legfőbb célpontjai a földkerekség bármely pontjáról, a nap 24 órájában elérhető webes alkalmazások, például online vásárlási fórumok, dinamikusan tartalmak, chat és más hasonló szolgáltatások, közösségi megoldások. 

 Az alkalmazásprogramozási felületek vagy interfészek (application programming interface, API) a 2000-es évek közepétől jelentős mértékben felgyorsították a korábban web 2.0-nak nevezett közösségi web fejlődését, többek között online alkalmazások és közösségi hálózatok, Facebook, Twitter és hasonló oldalak, portálok elterjedését, meghatározó társadalmi-gazdasági tényezővé válását.  

A konkrét programozási nyelvhez nem kötődő, bármilyen programozási nyelvből meghívható API tulajdonképpen program vagy rendszerprogram más programok által felhasználható eljárásainak – szolgáltatásainak – és használatuknak a dokumentációja. Nyilvános API-kkal úgy élhetünk egy programrendszer szolgáltatásaival, hogy egyáltalán nem kell ismerni annak belső működését. Megkönnyítik az alkalmazások kezelését. Gyakori eseteik az operációs rendszerek programozási felülete, rutinkönyvtárak készítése az alkalmazásprogramok által használt eljárások szabványosítása céljából stb.

Kockázataikra viszont sokkal kevesebb figyelmet szentel a média, pedig van belőlük bőven. Például gyakran előfordul, hogy többet egymásra halmoznak, vagy egy API-t más honlapok fejlesztői használnak, és közben közkinccsé – közprédává – teszik a sajátjukat. Ezekben az esetekben könnyen adódhatnak biztonsági problémák a különböző szinteken. Az AJAX (interaktív webalkalmazások létrehozására szolgáló fejlesztőtechnika), a widgetek (HTML-oldalba egyszerűen beilleszthető és további fordítás nélkül futtatható kódrészlet) és a mashupok (két vagy több információforrás, webszolgáltatás összekapcsolásával előálló, funkcionálisan új alkalmazások) használatakor a jelszavak titkosítás nélkül küldhetők és tárolhatók, a hoszt ellenőrzési körén kívül kerülnek, így hálózati forgalomellenőrző eszközzel rendelkező személyek könnyen elérhetik azokat.

A problémák egyébként már a tesztfázisban is jelentkeznek, pontosabban az API-k bő kétharmadának tesztelését nem a megkívánt és megfelelő gondossággal végzik el, a fejlesztőknek nem áll mindig rendelkezésre a potenciális réseket, behatolási pontokat, hibákat alaposan feltérképező, a sérülékenységeket időben észlelő fejlett ellenőrzőmotor. Tesztelésük egyébként is sokkal nehezebb, mint a hagyományos weboldalaké. Míg a honlapok kódjainak elemzésére fejlesztett programok kimutatják azok sebezhető pontjait, ugyanezek a programok csődöt mondanak, ha API-kat kell tesztelniük. Kevesebb az automatizmus, több a manuális munka, mindent egybevetve, több pénzt kell kiadni a megnyugtató eredményhez.

Az alkalmazásprogramozási felületek korábban ismeretlen, új típusú veszélyeket is generálhatnak. Például az alkalmazások létrehozásához használtak több különböző weboldalon működnek egyszerre, lehetővé téve egyrészt, hogy máshonnan emeljünk át tartalmakat saját honlapunkra, másrészt viszont, hogy rajtuk keresztül indítsunk támadást. Úgy férhetünk hozzá oldalakhoz, azok fontos elemeihez, hogy szinte senki nem lát belőle semmit. Rosszul sülhet el a jó szándék: minden egyes hozzáadott új funkcióval, nagyobb lesz az oldal támadási felülete. Összegezve: az API-k nagyjából ugyanazért hatékonyak, mint amiért kockázatosak.

Az alkalmazásprogramozási felületeket nyilvánosságra hozó honlapoknak komoly gondokat okoz biztonsági réseik felfedezése. Nehéz megállapítani, hogy „kívülálló” oldalak miként használnak egy-egy API-t, de még azt is, hogy az adott oldalakat valóban megtámadták vagy sem. Ilyen körülmények között a veszélyforrások azonosítása is felettébb bonyolult.

Az e felületek által okozott problémák, a problémák nehezebb és fáradságosabb kijavítása ellenére sem fog csökkenni a népszerűségük. Elsősorban azért nem, mert ellentétben lenne a jelenlegi online világ egyik meghatározó trendjével, azzal, hogy a weboldalak webszolgáltatásokká alakulnak át. Ez a folyamat API-k nélkül elképzelhetetlen.

Szólj hozzá!

Címkék: biztonság közösségi oldalak

A bejegyzés trackback címe:

https://infoter.blog.hu/api/trackback/id/tr524780682

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.

süti beállítások módosítása