Web2py - ความปลอดภัย
ในบทที่แล้วมีข้อมูลครบถ้วนเกี่ยวกับการนำ web2py ไปใช้กับเครื่องมือต่างๆ ข้อกังวลหลักในการพัฒนาแอปพลิเคชัน web2py ได้แก่ ความปลอดภัยจากมุมมองของผู้ใช้
คุณสมบัติเฉพาะของ web2py มีดังนี้ -
ผู้ใช้สามารถเรียนรู้การใช้งานได้อย่างง่ายดาย ไม่ต้องมีการติดตั้งและการอ้างอิง
มีความเสถียรตั้งแต่วันที่เปิดตัว
web2py มีน้ำหนักเบาและมีไลบรารีสำหรับ Data Abstraction Layer และภาษาเทมเพลต
ทำงานด้วยความช่วยเหลือของ Web Server Gateway Interface ซึ่งทำหน้าที่สื่อสารระหว่างเว็บเซิร์ฟเวอร์และแอปพลิเคชัน
Open Web Application Security Project (OWASP) คือชุมชนซึ่งแสดงรายการการละเมิดความปลอดภัยของเว็บแอปพลิเคชัน
การละเมิดความปลอดภัย
ในส่วนที่เกี่ยวกับ OWASP ปัญหาที่เกี่ยวข้องกับเว็บแอปพลิเคชันและวิธีที่ web2py เอาชนะปัญหาเหล่านี้จะกล่าวถึงด้านล่าง
การเขียนสคริปต์ข้ามด้าน
เรียกอีกอย่างว่า XSS เกิดขึ้นเมื่อใดก็ตามที่แอปพลิเคชันรับข้อมูลที่ผู้ใช้ให้มาและส่งไปยังเบราว์เซอร์ของผู้ใช้โดยไม่ต้องเข้ารหัสหรือตรวจสอบเนื้อหา ผู้โจมตีเรียกใช้สคริปต์เพื่อฉีดเวิร์มและไวรัสโดยใช้สคริปต์ข้ามด้าน
web2py ช่วยในการป้องกัน XSS โดยการป้องกันตัวแปรที่แสดงผลทั้งหมดในไฟล์ View.
การรั่วไหลของข้อมูล
บางครั้งแอปพลิเคชันจะรั่วไหลข้อมูลเกี่ยวกับการทำงานภายในความเป็นส่วนตัวและการกำหนดค่า ผู้โจมตีใช้สิ่งนี้เพื่อละเมิดข้อมูลที่ละเอียดอ่อนซึ่งอาจนำไปสู่การโจมตีที่ร้ายแรง
web2py ป้องกันสิ่งนี้โดยระบบตั๋ว บันทึกข้อผิดพลาดทั้งหมดและออกตั๋วให้กับผู้ใช้ที่มีการลงทะเบียนข้อผิดพลาด ข้อผิดพลาดเหล่านี้สามารถเข้าถึงได้โดยผู้ดูแลระบบเท่านั้น
การตรวจสอบสิทธิ์เสีย
ข้อมูลประจำตัวของบัญชีมักไม่ได้รับการปกป้อง ผู้โจมตีประนีประนอมกับรหัสผ่านโทเค็นการตรวจสอบความถูกต้องเพื่อขโมยข้อมูลประจำตัวของผู้ใช้
web2py จัดเตรียมกลไกสำหรับอินเทอร์เฟซการดูแลระบบ นอกจากนี้ยังบังคับให้ใช้เซสชันที่ปลอดภัยเมื่อไคลเอนต์ไม่ใช่“ localhost”
การสื่อสารที่ไม่ปลอดภัย
บางครั้งแอปพลิเคชันไม่สามารถเข้ารหัสการรับส่งข้อมูลเครือข่ายได้ จำเป็นต้องจัดการการรับส่งข้อมูลเพื่อปกป้องการสื่อสารที่ละเอียดอ่อน
web2py จัดเตรียมใบรับรองที่เปิดใช้งาน SSL เพื่อให้มีการเข้ารหัสการสื่อสาร นอกจากนี้ยังช่วยรักษาการสื่อสารที่ละเอียดอ่อน
ข้อ จำกัด ในการเข้าถึง URL
โดยปกติเว็บแอปพลิเคชันจะป้องกันการทำงานที่ละเอียดอ่อนโดยป้องกันไม่ให้แสดงลิงก์และ URL แก่ผู้ใช้บางราย ผู้โจมตีสามารถพยายามละเมิดข้อมูลที่ละเอียดอ่อนบางอย่างโดยการจัดการ URL ด้วยข้อมูลบางอย่าง
ใน wb2py URL จะแมปกับโมดูลและฟังก์ชันแทนที่จะเป็นไฟล์ที่กำหนด นอกจากนี้ยังมีกลไกซึ่งระบุว่าฟังก์ชันใดเป็นสาธารณะและได้รับการดูแลเป็นส่วนตัว ซึ่งจะช่วยในการแก้ไขปัญหา