netologyru May 31 2017 at 16:10

Безопасность в веб-разработке: чек-лист

5 min

19K

Нетология corporate blogInformation Security*Website development*Development of mobile applications*Web services testing*

Recovery Mode

Translation

+15

Comments 7

VolCh May 31 2017 at 18:15

Чек-лист, скорее, для администраторов и специалистов по ИБ, а не для разработчиков.

salabon May 31 2017 at 20:11

Как по мне, довольно адекватно.
Есть спорные моменты, конечно, но в основном не плохо.

А разработчики должны по умолчанию об этом думать и знать.
Ибо потом придётся переделывать свое «решето» много раз.

vanburg May 31 2017 at 22:54

Скорее всего, после первого кейса, тем, кто надырявил, уже не придется :) А так да

Sh1k4r1 Jun 1 2017 at 10:04

Стандартной JS инЪекцией отложил релиз на 2 недели на рабочем проекте.
И кто должен был заниматься экранированием инпута? Тестировщик?

«А разработчики должны по умолчанию об этом думать и знать.» — полностью согласен

VolCh Jun 1 2017 at 13:40

Не в адекватности дело, а в ориентированности: по заголовку для разработчиков, а по сути лишь с десяток пунктов из полусотни относятся к разработке, а остальное к администрированию, ИБ и прочей эксплуатации. Лучше отдельные чеклисты делать для девов и отдельные для админов/безошников — и более детально можно расписать и усвояемость лучше.

salabon Jun 2 2017 at 11:32

Я не хочу сказать ничего плохого, но возможно вы просто не участвовали в проектах на высоком уровне, за свои 20+ лет?)
Всегда пилили свой маленький кусочек кода не задумываясь о системе в целом…

С другой стороны бывают компании / проекты, где команда всего 3 человека, и все они немного девы / админы / безопасники / тестировщики / архитекторы.

А чек-лист, на то и чек-лист… Все вопросы собраны в один список.

VolCh Jun 3 2017 at 10:49

Я участвовал в разных проектах в разных ролях. Практически никогда не было "пилю свой маленький кусочек кода", практически всегда достигал роли ведущего разработчика и(или) архитектора, но попутно приходилось заниматься практически всеми вопросами из этого чеклиста и не только. По принципу "ты же программист", "больше некому", а также "это же напрямую к разработке относится — вот ссылка (на подобный чеклист)". И приходилось (и приходится) заниматься вопросами типа безопасности инфраструктуры и организацией мониторинга приложения. Но мне это сильно не нравится, с одной стороны, а, с другой, когда я этим всё же занимаюсь, то четко сознаю в роли кого я выступаю в данный момент, вплоть до того, что сам как архитектор себе как, например, админу задачи ставлю типа "изолировать веб-сервера от серверов СУБД, разместив их в разных подсетях без доступа друг к другу".