مقدمه ای بر امنیت وب سایت ها

وقتی ما یک وب سایت جدید می سازیم آن را از زاویه های مختلفی تست می کنیم. برای مثال تصاویر در جای مناسب خود نمایش داده شود، فرم ها به درستی کار کند و اطلاعات را به درستی به ایمیل مورد نظر ارسال نماید یا مطالب در گروه مورد نظر دسته بندی شوند … اما همانطور که سایت را برای کارکرد صحیح تست می کنیم از لحاظ امنیتی نیز بررسی و مورد آزمایش قرار می دهیم. اما این همه داستان نیست چراکه یک وب سایت برای اینکه به نمایش عموم در بیاید علاوه بر برنامه نویسی و  پیاده سازی به یک بستر میزبانی (هاست) نیز نیازمند است.

هاست امن با محدود کردن راه‌های آسیب پذیری سرورهای خود بیش از نیمی از ضریب نفوذ به یک وب سایت را کاهش میدهد. وجود فایروال ها ، آنتی ویروس ها ، ترفندهای امنیتی و دانش فنی مقابله با نفوذ از جمله راه های شناسایی هاست امن است.

اما در سوی مقابل نرم افزار تحت وب (وب سایت) نیز با یستی بار مابقی ضریب امنیتی را بر دوش بکشد. و در تست های امنیتی خود موارد مختلفی را بگذراند. برای مثال در برابر ورودی های غیر قابل قبول مقاومت کند. فرم ارسال و دریافت ایمیل، فایل و اطلاعات مالی در آن محدوده های حجمی و پسوندی خاص داشته باشند. تصاویر و بانک اطلاعات سایت در برابر ورودی های نامطمئن از خود واکنش نشان دهد و بسیاری از این دست موارد …

اما تست امنیتی یک سفر بی پایان است و هیچ گاه مقصد نهایی ندارد. چرا که امنیت هیچ گاه نقطه پایان ندارد بلکه این تست های امنیتی است که بر اساس نیاز پایان می یابند.

امنیت به مقدار لازم:

اکثر نرم افزارهایی که تولید می شوند برای انجام کار خاصی ساخته شده اند و خودشان نرم افزار امنیتی محسوب نمی شوند. همین موضوع سبب می شود که برنامه نویسان توجه کمی به بخش امنیت نشان بدهند و این بخش کار اغلب اوقات تا حد نیاز مورد بررسی و توجه قرار می گیرد.

همانطور که گفته شد هیچ پایانی بر سفر امنیت وجود ندارد. باید یک میزان قابل قبول برای امنیت وب سایت در نظر گرفت. چرا که نمی توان تا ابد روی امنیت کار کرد فقط به خاطر اینکه اجرای هر کدام از آنها باعث می شود نرم افزار وب سایت کمی امن تر بشود. همیشه وقت و هزینه دو عنصر محدود کننده هر تولید کننده ای است.

در واقع امنیت واقعی نرم افزار به معنای مدیریت ریسک است.  باید به حدی از اطمینان رسید که نرم افزار برای بازار هدف به اندازه کافی امن است. ممکن است که یک متخصص امنیت بگوید که این سایت به اندازه کافی امن نیست. اما تا وقتی که این نرم افزار صاحبان و کاربران را راضی می کند (در حالتی که آنها از این ریسک اطلاع دارند و می دانند که چه چیزی را قبول کرده اند) می توان گفت که وب سایت به قدر کافی امن است.

در واقع یکی از کارهای مهم تست های امنیتی نشان دادن شواهد و فراهم کردن آگاهی در مورد خطراتی است که وب سایت شما را تهدید می کند. تا بتوانید تصمیم بگیرید چه میزان ریسک را قبول کنید و آیا نیاز به انجام کار و صرف هزینه برای رفع مشکلات هست یا نه؟

گردآوری: نت سام