Assicurarsi che un'applicazione Web sia sicura prima di utilizzarla

8

Come si può verificare la sicurezza e la legittimità di un'applicazione Web prima di accedervi?

security 
Woot4Moo
fonte

Risposte:

5

La risposta di dhulk ​​ha alcune buone informazioni, ma penso che quelle siano secondarie.

Cominciamo con alcune basi:

Funziona su HTTPS ? Cerca nella barra degli indirizzi. Se l'URL inizia con https, il traffico da e verso questa app viene crittografato.

Solo perché funziona su https non garantisce che sia sicuro. La società (o persona) che ha creato il sito ha pieno accesso a tutte le informazioni che invii.

Esaminare il certificato Fare doppio clic sull'icona del lucchetto per visualizzare le informazioni sulla certificazione (la posizione del lucchetto varia da browser a browser). Guarda a chi viene rilasciato il certificato. Se il nome dell'azienda non sembra familiare, fai alcune ricerche su Google per capire quale sia la relazione tra il titolare del certificato e il servizio.

Cerca una politica sulla privacy. Questo dovrebbe specificare cosa fanno con le informazioni fornite. Ovviamente non garantisce che obbediranno alla loro politica dichiarata.

Ricerca la sua reputazione. Fai alcune ricerche su google e twitter. Prova cose come "non fidarti di X" o "sicurezza di X" (dove X è il servizio)

Tutto sommato, stai cercando un'immagine coerente che suggerisca che gli operatori del sito sono in anticipo e affidabili. Non è ancora una garanzia, ma è un ottimo inizio prima di divulgare informazioni personali.

Doug Harris
fonte
Grazie per l'input su questo come follow-up, ho fatto un'altra domanda specifica su cui potresti essere in grado di aiutarti: webapps.stackexchange.com/questions/807/…
Woot4Moo
Risposta decente, ma le preoccupazioni di Dhulk sono tutt'altro che secondarie. Gli attacchi di scripting cross-site sono un buon modo per ottenere il tuo computer dirottato da parti sconosciute, quindi la sua raccomandazione NoScript è molto importante.
Scott Lawrence,
Sì, per quanto riguarda NoScript, l'unico posto in cui non lo uso è qui al lavoro poiché sono uno sviluppatore web e di solito guardo solo Google, Stack Overflow e i siti che ho creato, quindi sono non si preoccupava tanto degli attacchi di scripting a quel punto.
Blair Scott,
Non intendevo implicare che le preoccupazioni di Dhulk fossero meno importanti. Invece intendevo che ci sono altri elementi che esaminerei per primi. NoScript è una soluzione molto bella - per quelli di noi che capiscono cosa sta facendo. Penso che la stragrande maggioranza degli utenti Web non sappia, non si preoccupi e non dovrebbe aver bisogno di sapere cosa viene gestito dallo scripting rispetto all'HTML statico. Con NoScript installato, questi utenti saranno confusi da un sito apparentemente non funzionante.
Doug Harris,
Molto vero, mi dimentico spesso di averlo in esecuzione e si verificano sempre lievi frustrazioni quando visito un nuovo sito e non funziona. Non è qualcosa che i principianti vorranno usare davvero.
Blair Scott,
4

Quello che cerchi potrebbe essere un po 'difficile. Tuttavia, se usi Firefox ci sono un paio di cose che faccio per proteggermi da pagine che non sono mai stato prima.

In primo luogo, utilizzo il componente aggiuntivo NoScript per Firefox. Mantiene Javascript in esecuzione su siti non consentiti esplicitamente.

In secondo luogo, l'ho appena scoperto alcuni giorni fa, HTTPS Everywhere ti passa alla versione HTTPS di diversi siti che ti offrirà una maggiore sicurezza. Inoltre, puoi aggiungere tutte le serie di regole che desideri in modo che qualsiasi sito che incontri e desideri utilizzare la versione HTTPS (deve essere disponibile ovviamente) che puoi.

Spero che sia di aiuto.

Blair Scott
fonte
HTTPS Everywhere è un suggerimento fantastico. Stanno facendo un'estensione per Chrome?
jinsungy,
Non sono sicuro, ne ho appena saputo di recente, ma lo spero proprio.
Blair Scott,
Daremo
non vedo come l'esistenza di https assicuri che l'app Web sia "sicura". trasferisci cose crittografate a loro e alle tue spalle vendono i dati. forse non ho capito il significato della domanda in primo luogo ...
Akira,
@akira in realtà non lo è, ma l'applicazione Web protetta non è tutto ciò di cui devi preoccuparti. Non c'è davvero un modo per garantire che i tuoi dati siano al sicuro in quanto anche le persone che dichiarano di prendersi cura delle tue informazioni (ricordi Google buzz?) Possono accidentalmente fare cose con i tuoi dati che preferiresti non fare.
Blair Scott
4

Suggerendo alcuni punti non tecnici che potresti voler prendere in considerazione oltre alle misure di sicurezza menzionate da altri. Ti richiedono di utilizzare il sito in una certa misura, quindi dovrai essere pronto a visualizzare parti del sito, quindi se sei davvero preoccupato potresti prendere le precauzioni prima (niente script, disabilitare i cookie ecc.).

  • C'è una pagina Contattaci che elenca un indirizzo fisico e un numero di telefono per l'azienda.
  • Tutti i collegamenti puntano a dove sostengono di puntare - controlla l'URL nella barra di stato è quello che ti aspetti che sia.
  • Ti permettono di dare un'occhiata al sito prima di registrarti. Anche se non puoi aspettarti l'accesso a tutti i contenuti, dovresti essere in grado di visualizzarne alcune: immagini a bassa risoluzione, i primi paragrafi degli articoli, ecc.
  • Tutti i costi sono chiaramente indicati prima della registrazione.
  • C'è un'opzione gratuita che consente l'accesso ad alcuni contenuti.
  • Il sito non dovrebbe chiederti di installare nulla sul tuo computer.

Anche se non mi aspetto che tutti questi siano sempre presenti (a parte la pagina di contatto) - dopo tutto ogni sito è diverso - mi aspetto alcuni contenuti gratuitamente.

ChrisF
fonte
1

Non puoi mai essere sicuro al 100%.

Browser diversi possono aiutarti in diversi modi:

IE ha diverse funzionalità di sicurezza

Come fa Firefox

E anche Chrome

Tutti e tre hanno una funzione che rileverà possibili malware, phishing, certificati scaduti o non validi.

Shevek
fonte
0

La mia preoccupazione principale è la sicurezza, non tanta legittimità. A volte, un sito è così nuovo, non ne troverai molto.

Per motivi di sicurezza, verificherei se il sito impedisce XSS, CSRF, attraversamento di directory, buffer overflow, iniezione SQL, ecc. Esistono vari modi per testare uno degli exploit sopra indicati e qualsiasi sito che non supera il test deve essere visualizzato con preoccupazione.

cherrypj
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.