Listor / Berzan / Säkerhet på webben

Säkerhet på webben

Med

menar man att man ”tvättar” datat som användaren skickar till servern genom att ta bort onödiga mellanrum och gör det omöjligt för användaren att posta en variabel med ett tomt värde.

betyder att man ersätter tecknen som t.ex taggar (< och >) med hjälp av entiteter (htmlentities) för att de inte ska ”kompileras” av webbläsaren. Med hjälp av detta hindrar man användaren ifrån att kunna skicka skadliga skript och andra html-element som man inte vill ska kunna användas utifrån.

– Med detta menas att om det ändå skulle skickas skadlig indata ifrån användaren(eller hackern) så ska skadan bli så liten som möjlig genom att göra varje del av en webbaplikation fristående så den endast utför sin egen uppgift.

När man säger att man ska bygga en webbaplikation med metoden

istället för

menas det att man ska bestämma vad som är tillåtet för användaren att skicka för indata till applikationen eller servern och INTE vad som inte är tillåtet. Detta för att användarens klantighet och hackarens listighet inte ska ta oförutsedda vägar och gå runt det menade systemet.

betyder Cross Site Scripting. Med detta menas att man “injicerar” t.ex. script i bl.a. kommentarsfältet. På grund av detta kan hackern i värsta fall snappa upp användarnamn och lösenord från personers pågående uppkoppling. Ett annat säkerhets problem skulle kunna vara att man lägger in en img-tagg eller likande och sabbar desigenen på hemsidan. För att undvika detta kan man använda htmlentiteter som gör att taggarna inte tolkas av webbläsaren. För att hålla XSS borta är det bra om man kan hålla sin kod så enkel och strukturerad som möjligt eftersom grötkod är väldigt svårkontrollerad och detta utnyttjas av hackare.

Publiceringsdatum: 2013-11-26