Web2py - सुरक्षा
पिछले अध्यायों में, विभिन्न उपकरणों के साथ web2py के कार्यान्वयन पर पूरी जानकारी थी। Web2py अनुप्रयोगों को विकसित करने की प्रमुख चिंता में उपयोगकर्ता के दृष्टिकोण से सुरक्षा शामिल है।
Web2py की अनूठी विशेषताएं इस प्रकार हैं -
उपयोगकर्ता कार्यान्वयन को आसानी से सीख सकते हैं। यह कोई स्थापना और निर्भरता की आवश्यकता है।
यह लॉन्च के दिन से ही स्थिर है।
web2py हल्का है और इसमें डेटा एब्स्ट्रक्शन लेयर और टेम्प्लेट लैंग्वेज के लिए लाइब्रेरी शामिल हैं।
यह वेब सर्वर गेटवे इंटरफेस की मदद से काम करता है, जो वेब सर्वर और एप्लिकेशन के बीच संचार का काम करता है।
ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट (OWASP) एक समुदाय है, जो वेब एप्लिकेशन के सुरक्षा उल्लंघनों को सूचीबद्ध करता है।
सुरक्षा उल्लंघनों
ओडब्ल्यूएएसपी के संबंध में, वेब अनुप्रयोगों से संबंधित मुद्दे और वेब 2 खामियां उन्हें कैसे खत्म करती हैं, नीचे चर्चा की गई है।
क्रॉस साइड स्क्रिप्टिंग
इसे XSS के नाम से भी जाना जाता है। यह तब होता है जब कोई एप्लिकेशन उपयोगकर्ता द्वारा आपूर्ति किए गए डेटा को लेता है और सामग्री को एन्कोडिंग या मान्य किए बिना उपयोगकर्ता के ब्राउज़र में भेजता है। हमलावर क्रॉस साइड स्क्रिप्टिंग का उपयोग करके कीड़े और वायरस को इंजेक्ट करने के लिए स्क्रिप्ट निष्पादित करते हैं।
web2py XSS को रोकने में मदद करता है जिसमें सभी प्रदान किए गए चर को रोका जा सकता है View।
जानकारी का रिसाव
कभी-कभी, एप्लिकेशन आंतरिक कामकाज, गोपनीयता और कॉन्फ़िगरेशन के बारे में जानकारी लीक करते हैं। हमलावर संवेदनशील डेटा को भंग करने के लिए इसका उपयोग करते हैं, जिससे गंभीर हमले हो सकते हैं।
web2py टिकट प्रणाली द्वारा इसे रोकता है। यह सभी त्रुटियों को लॉग करता है और टिकट उस उपयोगकर्ता को जारी किया जाता है जिसकी त्रुटि दर्ज की जा रही है। ये त्रुटियां केवल व्यवस्थापक के लिए ही सुलभ हैं।
टूटा हुआ प्रमाणीकरण
खाता क्रेडेंशियल्स अक्सर संरक्षित नहीं होते हैं। हमलावर पासवर्ड के लिए समझौता करते हैं, प्रमाणीकरण उपयोगकर्ता की पहचान चोरी करने के लिए टोकन लेता है।
web2py प्रशासनिक इंटरफ़ेस के लिए एक तंत्र प्रदान करता है। जब ग्राहक "लोकलहोस्ट" नहीं होता है तो यह सुरक्षित सत्रों का उपयोग करने के लिए बाध्य करता है।
असुरक्षित संचार
कभी-कभी एप्लिकेशन नेटवर्क ट्रैफ़िक को एन्क्रिप्ट करने में विफल होते हैं। संवेदनशील संचार की सुरक्षा के लिए यातायात का प्रबंधन करना आवश्यक है।
web2py संचार के एन्क्रिप्शन प्रदान करने के लिए एसएसएल सक्षम प्रमाण पत्र प्रदान करता है। यह संवेदनशील संचार को बनाए रखने में भी मदद करता है।
URL एक्सेस में प्रतिबंध
वेब एप्लिकेशन आमतौर पर कुछ उपयोगकर्ताओं के लिंक और URL के प्रदर्शन को रोककर संवेदनशील कार्यक्षमता की रक्षा करते हैं। हमलावर कुछ जानकारी के साथ URL में हेरफेर करके कुछ संवेदनशील डेटा को भंग करने की कोशिश कर सकते हैं।
Wb2py में, एक URL दिए गए फ़ाइल के बजाय मॉड्यूल और फ़ंक्शन के लिए मैप करता है। इसमें एक तंत्र भी शामिल है, जो निर्दिष्ट करता है कि कौन से कार्य सार्वजनिक हैं और जिन्हें निजी रखा गया है। यह समस्या को हल करने में मदद करता है।