Memastikan aplikasi web aman sebelum menggunakannya

8

Bagaimana seseorang bisa memverifikasi keamanan dan legitimasi aplikasi web sebelum mengaksesnya?

security Woot4Moo
sumber

Jawaban:

5

jawaban Dhulk itu memiliki beberapa info bagus, tapi saya pikir itu adalah sekunder.

Mari kita mulai dengan beberapa dasar:

Apakah ini berjalan di https ? Lihat di bilah alamat Anda. Jika URL dimulai dengan https, lalu lintas ke dan dari aplikasi ini dienkripsi.

Hanya karena itu berjalan di https tidak menjamin bahwa itu aman. Perusahaan (atau orang) yang membangun situs memiliki akses penuh ke informasi apa pun yang Anda kirim.

Periksa sertifikat Klik dua kali pada ikon kunci untuk melihat informasi sertifikasi (posisi kunci bervariasi dari browser ke browser). Lihatlah kepada siapa sertifikat itu dikeluarkan. Jika nama perusahaan sepertinya tidak familier, lakukan beberapa pencarian google untuk mencari tahu apa hubungan antara pemegang sertifikat dan layanan.

Cari kebijakan privasi. Ini harus menentukan apa yang mereka lakukan dengan informasi yang Anda berikan kepada mereka. Itu tidak menjamin bahwa mereka akan mematuhi kebijakan yang mereka nyatakan, tentu saja.

Teliti reputasinya. Lakukan beberapa pencarian google dan twitter. Cobalah hal-hal seperti "jangan percayai X" atau "keamanan X" (di mana X adalah layanan)

Semua dalam semua, Anda mencari gambar yang konsisten yang menunjukkan bahwa operator situs di muka dan dapat dipercaya. Ini masih belum ada jaminan, tetapi ini adalah awal yang baik sebelum Anda membocorkan informasi pribadi.

Doug Harris
sumber
Terima kasih atas masukan ini sebagai tindak lanjut, saya membuat pertanyaan spesifik lain yang Anda mungkin dapat bantuan pada: webapps.stackexchange.com/questions/807/...
Woot4Moo
Jawaban yang layak, tetapi kekhawatiran dhulkk adalah sesuatu yang kedua. Serangan skrip lintas situs adalah cara yang baik untuk membuat komputer Anda dibajak oleh pihak yang tidak dikenal, sehingga rekomendasi NoScript-nya sangat penting.
Scott Lawrence
Ya, mengenai NoScript, satu-satunya tempat saya tidak menggunakannya di sini di tempat kerja karena saya seorang pengembang web dan saya biasanya hanya melihat Google, Stack Overflow, dan situs yang saya buat, jadi saya tidak terlalu peduli dengan serangan skrip pada saat itu.
Blair Scott
Saya tidak bermaksud mengatakan bahwa kekhawatiran dhulk ​​kurang penting. Sebaliknya yang saya maksudkan adalah ada item lain yang akan saya periksa terlebih dahulu. NoScript adalah solusi yang sangat bagus - bagi kita yang mengerti apa yang dilakukannya. Saya pikir sebagian besar pengguna web tidak tahu, tidak peduli dan seharusnya tidak perlu tahu apa yang ditangani oleh scripting vs HTML statis. Dengan NoScript diinstal, pengguna ini akan dikacaukan oleh situs yang tampaknya tidak berfungsi.
Doug Harris
Sangat benar, saya sering lupa pada diri sendiri bahwa saya menjalankannya dan sedikit frustrasi selalu terjadi ketika saya mengunjungi situs baru dan tidak berfungsi. Itu bukan sesuatu yang benar-benar ingin digunakan pemula.
Blair Scott
4

Apa yang Anda kejar mungkin agak sulit. Namun, jika Anda menggunakan Firefox, ada beberapa hal yang saya lakukan untuk melindungi diri dari halaman yang belum pernah saya kunjungi sebelumnya.

Pertama, saya menggunakan add-on NoScript untuk Firefox. Itu menjaga Javascript dari berjalan di situs yang tidak Anda izinkan secara eksplisit.

Kedua, saya baru saja menemukan ini beberapa hari yang lalu, HTTPS Everywhere mengalihkan Anda ke versi HTTPS dari beberapa situs yang akan menawarkan Anda keamanan yang lebih besar. Selain itu, Anda dapat menambahkan set aturan sebanyak yang Anda inginkan sehingga situs apa pun yang Anda temui dan ingin menggunakan versi HTTPS (harus tersedia tentunya) Anda bisa.

Semoga ini membantu.

Blair Scott
sumber
HTTPS Everywhere adalah saran yang luar biasa. Apakah mereka membuat ekstensi untuk Chrome?
jinsungy
Tidak yakin benar, saya baru mempelajarinya baru-baru ini, tapi saya harap begitu.
Blair Scott
Saya akan melihat HTTPS Everywhere
Woot4Moo
saya tidak bisa melihat bagaimana keberadaan https memastikan aplikasi web "aman". Anda mentransfer barang-barang terenkripsi kepada mereka dan di belakang Anda mereka menjual data. mungkin saya tidak mendapatkan arti dari pertanyaan itu di tempat pertama ...
akira
@ Akira itu tidak benar-benar, tetapi aplikasi web yang aman tidak semua yang perlu Anda khawatirkan. Sebenarnya tidak ada cara untuk memastikan bahwa data Anda aman karena bahkan orang yang mengaku menjaga informasi Anda (ingat Google buzz?) Secara tidak sengaja dapat melakukan sesuatu dengan data Anda yang Anda tidak ingin lakukan.
Blair Scott
4

Menyarankan beberapa poin non-teknis yang mungkin ingin Anda pertimbangkan selain langkah-langkah keselamatan yang disebutkan oleh orang lain. Mereka memang mengharuskan Anda untuk menggunakan situs ini sampai tingkat tertentu sehingga Anda harus siap untuk melihat bagian-bagian dari situs, jadi jika Anda benar-benar khawatir Anda mungkin ingin mengambil tindakan pencegahan terlebih dahulu (tanpa skrip, menonaktifkan cookie, dll.).

  • Ada halaman Hubungi Kami yang mencantumkan alamat fisik dan nomor telepon untuk perusahaan.
  • Semua tautan mengarah ke tempat yang diklaimnya tandai - periksa URL di bilah status sesuai keinginan Anda.
  • Mereka membiarkan Anda melihat-lihat situs sebelum mendaftar. Meskipun Anda tidak dapat mengharapkan akses ke semua konten, Anda harus dapat melihat beberapa - gambar beresolusi rendah, paragraf pertama artikel, dll.
  • Biaya apa pun jelas ditetapkan sebelum Anda mendaftar.
  • Ada opsi tanpa biaya yang memungkinkan akses ke beberapa konten.
  • Situs seharusnya tidak meminta Anda untuk menginstal apa pun di komputer Anda.

Meskipun saya tidak berharap semua ini akan selalu ada (terlepas dari halaman hubungi kami) - setelah semua situs berbeda - saya akan mengharapkan beberapa konten gratis.

ChrisF
sumber
1

Anda tidak akan pernah bisa 100% pasti.

Browser yang berbeda dapat membantu Anda dengan cara yang berbeda:

IE memiliki beberapa fitur keamanan

Seperti halnya Firefox

Dan Chrome juga

Ketiganya memiliki fitur yang akan mendeteksi kemungkinan malware, phishing, kedaluwarsa atau sertifikat buruk.

Shevek
sumber
0

Perhatian utama saya adalah keamanan, bukan legitimasi. Terkadang, sebuah situs baru, Anda tidak akan menemukan banyak hal tentangnya.

Untuk keamanan, saya akan menguji apakah situs tersebut mencegah XSS, CSRF, direktori traversal, buffer overflows, injeksi SQL, dll. Ada berbagai cara untuk menguji salah satu eksploitasi di atas, dan situs apa pun yang gagal pengujian Anda harus dilihat dengan penuh perhatian.

cherrypj
sumber
0

Instal WOT atau SiteAdvisor atau cari situs di situs web mereka. Buka halaman situs dan baca ulasannya.

agar-agar
sumber