Garantir a segurança de um aplicativo Web antes de utilizá-lo


8

Como verificar a segurança e a legitimidade de um aplicativo Web antes de acessá-lo?

Respostas:


5

A resposta do dhulk ​​tem algumas informações boas, mas acho que são secundárias.

Vamos começar com alguns princípios básicos:

Está sendo executado em https ? Olhe na sua barra de endereço. Se o URL começar com https, o tráfego de e para este aplicativo será criptografado.

Só porque está sendo executado em https não garante que seja seguro. A empresa (ou pessoa) que criou o site tem acesso total a qualquer informação que você enviar.

Examine o certificado Clique duas vezes no ícone do cadeado para ver as informações de certificação (a posição do cadeado varia de navegador para navegador). Veja para quem o certificado é emitido. Se o nome da empresa não parecer familiar, faça algumas pesquisas no Google para descobrir qual é a relação entre o detentor do certificado e o serviço.

Procure uma política de privacidade. Isso deve especificar o que eles fazem com as informações que você fornece. Não garante que eles obedeçam à política declarada, é claro.

Pesquise sua reputação. Faça algumas pesquisas no google e no twitter. Tente coisas como "não confie no X" ou "segurança do X" (onde X é o serviço)


Em suma, você está procurando uma imagem consistente que sugira que os operadores do site sejam honestos e confiáveis. Ainda não há garantia, mas é um ótimo começo antes de você divulgar informações pessoais.


Obrigado pela contribuição neste como um acompanhamento, fiz outra pergunta específica que você pode ser capaz de ajuda em: webapps.stackexchange.com/questions/807/...
Woot4Moo

Resposta decente, mas as preocupações de dhulk ​​são tudo menos secundárias. Os ataques de script entre sites são uma boa maneira de seqüestrar seu computador por terceiros desconhecidos, portanto, sua recomendação NoScript é muito importante.
Scott Lawrence

Sim, em relação ao NoScript, o único lugar em que não o uso é aqui no trabalho, já que sou desenvolvedor da Web e geralmente olho apenas para o Google, Stack Overflow e sites que construí, por isso estou não está preocupado tanto com ataques de script nesse ponto.
Blair Scott

Não quis dizer que as preocupações de dhulk ​​eram menos importantes. Em vez disso, quis dizer que existem outros itens que eu examinaria primeiro. O NoScript é uma solução muito boa - para quem entende o que está fazendo. Eu acho que a grande maioria dos usuários da web não sabe, não se importa e não precisa saber o que é tratado pelos scripts versus HTML estático. Com o NoScript instalado, esses usuários serão confundidos com um site aparentemente não funcionando.
Doug Harris

É verdade que muitas vezes me esqueço de que o tenho em execução e sempre ocorrem pequenas frustrações quando visito um novo site e ele não funciona. Não é algo que os novatos vão querer usar realmente.
Blair Scott

4

O que você procura pode ser um pouco difícil. No entanto, se você usa o Firefox, há algumas coisas que faço para me proteger de páginas que eu não tinha anteriormente.

Primeiro, eu uso o complemento NoScript para Firefox. Impede que o Javascript seja executado em sites que você não permite explicitamente.

Segundo, me deparei com isso há alguns dias atrás, o HTTPS Everywhere muda para a versão HTTPS de vários sites, que oferece maior segurança. Além disso, você pode adicionar quantos conjuntos de regras desejar para que qualquer site que você encontre e deseje usar a versão HTTPS (esteja disponível, é claro) também possa.

Espero que isto ajude.


HTTPS Everywhere é uma sugestão impressionante. Eles estão fazendo uma extensão para o Chrome?
Jsungy

Não tenho certeza, aprendi sobre isso recentemente, mas espero que sim.
Blair Scott

Vou dar uma olhada no HTTPS em todos os lugares
Woot4Moo

Não consigo ver como a existência de https garante que o aplicativo da web seja "seguro". você transfere material criptografado para eles e, nas suas costas, eles vendem os dados. Talvez eu não recebi o significado da pergunta em primeiro lugar ...
akira

@akira, na verdade não, mas o aplicativo da web sendo seguro não é tudo o que você precisa se preocupar. Não há realmente uma maneira de garantir que seus dados estejam seguros, pois mesmo as pessoas que afirmam cuidar de suas informações (lembra-se do Google buzz?) Podem acidentalmente fazer coisas com seus dados que você preferiria não fazer.
Blair Scott

4

Sugerindo alguns pontos não técnicos que você pode considerar além das medidas de segurança mencionadas por outros. Eles exigem que você use o site até certo ponto, para que você tenha que estar preparado para visualizar partes do site; portanto, se você estiver realmente preocupado, poderá tomar as precauções primeiro (sem script, desativando cookies etc.).

  • Há uma página Fale conosco que lista um endereço físico e um número de telefone para a empresa.
  • Todos os links apontam para onde eles afirmam apontar - verifique o URL na barra de status como você espera que seja.
  • Eles permitem que você examine o site antes de se inscrever. Embora não possa esperar o acesso a todo o conteúdo, você poderá ver alguns - imagens de baixa resolução, os primeiros parágrafos dos artigos etc.
  • Quaisquer custos são claramente definidos antes da inscrição.
  • Existe uma opção gratuita que permite o acesso a algum conteúdo.
  • O site não deve solicitar que você instale nada no seu computador.

Embora eu não esperasse que tudo isso estivesse sempre presente (além da página de contato) - afinal, cada site é diferente - eu esperaria algum conteúdo gratuitamente.


1

Você nunca pode estar 100% certo.

Navegadores diferentes podem ajudá-lo de diferentes maneiras:

O IE possui vários recursos de segurança

Como o Firefox

E o Chrome também

Todos os três têm um recurso que detecta possíveis malwares, phishing, desatualizados ou certificados incorretos.


0

Minha principal preocupação é segurança, não tanta legitimidade. Às vezes, um site é tão novo que você não encontrará muito sobre ele.

Por segurança, eu testaria se o site evita XSS, CSRF, passagem de diretório, estouros de buffer, injeção de SQL etc. Existem várias maneiras de testar qualquer uma das explorações acima, e qualquer site que falhe em seu teste deve ser visto com preocupação.


Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.