Stellen Sie sicher, dass eine Webanwendung sicher ist, bevor Sie sie verwenden

8

Wie kann man die Sicherheit und Legitimität einer Webanwendung überprüfen, bevor man darauf zugreift?

Woot4Moo
quelle

Antworten:

5

Dhulks Antwort enthält einige gute Informationen, aber ich denke, diese sind zweitrangig.

Beginnen wir mit einigen Grundlagen:

Läuft es auf https ? Schauen Sie in Ihre Adressleiste. Wenn die URL mit https beginnt, wird der Datenverkehr zu und von dieser App verschlüsselt.

Nur weil es auf https läuft, ist es nicht garantiert, dass es sicher ist. Das Unternehmen (oder die Person), die die Website erstellt hat, hat vollen Zugriff auf alle von Ihnen gesendeten Informationen.

Überprüfen des Zertifikats Doppelklicken Sie auf das Schlosssymbol, um Zertifizierungsinformationen anzuzeigen (die Position des Schlosses variiert von Browser zu Browser). Sehen Sie sich an, an wen das Zertifikat ausgestellt wurde. Wenn Ihnen der Name des Unternehmens nicht bekannt vorkommt, führen Sie einige Google-Suchvorgänge durch, um die Beziehung zwischen dem Zertifikatsinhaber und dem Dienst herauszufinden.

Suchen Sie nach einer Datenschutzrichtlinie. Dies sollte angeben, was sie mit den Informationen tun, die Sie ihnen geben. Es garantiert natürlich nicht, dass sie ihre angegebenen Richtlinien einhalten.

Erforschen Sie seinen Ruf. Führen Sie einige Google- und Twitter-Suchen durch. Probieren Sie Dinge wie "X nicht vertrauen" oder "Sicherheit von X" aus (wobei X der Dienst ist).


Alles in allem suchen Sie nach einem konsistenten Bild , das darauf hindeutet, dass die Betreiber der Website offen und vertrauenswürdig sind. Es ist immer noch keine Garantie, aber es ist ein guter Anfang, bevor Sie persönliche Informationen preisgeben.

Doug Harris
quelle
Vielen Dank für die Eingabe zu diesem Thema als Folge, ich habe eine weitere spezielle Frage gestellt, bei der Sie möglicherweise helfen können: webapps.stackexchange.com/questions/807/…
Woot4Moo
Anständige Antwort, aber Dhulks Bedenken sind alles andere als zweitrangig. Cross-Site-Scripting-Angriffe sind eine gute Möglichkeit, Ihren Computer von unbekannten Parteien zu entführen. Daher ist seine NoScript-Empfehlung sehr wichtig.
Scott Lawrence
Ja, in Bezug auf NoScript ist der einzige Ort, an dem ich es nicht benutze, hier bei der Arbeit, da ich ein Webentwickler bin und normalerweise nur Google, Stack Overflow und Websites betrachte, die ich erstellt habe zu diesem Zeitpunkt nicht so sehr mit Skriptangriffen befasst.
Blair Scott
Ich wollte nicht implizieren, dass Dhulks Bedenken von geringerer Bedeutung waren. Stattdessen meinte ich, dass es andere Dinge gibt, die ich zuerst untersuchen würde. NoScript ist eine sehr schöne Lösung - für diejenigen von uns, die verstehen, was es tut. Ich denke, dass die überwiegende Mehrheit der Webbenutzer nicht weiß, sich nicht darum kümmert und nicht wissen muss, was mit Skripten und statischem HTML zu tun hat. Wenn NoScript installiert ist, werden diese Benutzer von einer anscheinend nicht funktionierenden Site verwirrt.
Doug Harris
Sehr wahr, ich vergesse mich oft selbst, dass es läuft und es kommt immer zu leichten Frustrationen, wenn ich eine neue Site besuche und es nicht funktioniert. Es ist nicht etwas, das Anfänger wirklich nutzen wollen.
Blair Scott
4

Was Sie suchen, kann ein wenig schwierig sein. Wenn Sie jedoch Firefox verwenden, gibt es einige Dinge, die ich tue, um mich vor Seiten zu schützen, die ich vorher noch nicht gesehen habe.

Erstens verwende ich das NoScript-Add-On für Firefox. Es verhindert, dass Javascript auf Websites ausgeführt wird, die Sie nicht explizit zulassen.

Zweitens bin ich vor ein paar Tagen darauf gestoßen. HTTPS Everywhere schaltet Sie auf die HTTPS-Version mehrerer Websites um, die Ihnen mehr Sicherheit bieten. Darüber hinaus können Sie so viele Regelsätze hinzufügen, wie Sie möchten, sodass jede Site, auf die Sie stoßen und die HTTPS-Version verwenden möchten (muss natürlich verfügbar sein), möglich ist.

Hoffe das hilft.

Blair Scott
quelle
HTTPS Everywhere ist ein großartiger Vorschlag. Machen sie eine Erweiterung für Chrome?
Jinsungy
Ich bin mir nicht sicher, ich habe es erst kürzlich erfahren, aber ich hoffe es sehr.
Blair Scott
Ich werde einen Blick in HTTPS Everywhere
Woot4Moo
Ich kann nicht sehen, wie die Existenz von https sicherstellt, dass die Web-App "sicher" ist. Sie übertragen verschlüsselte Inhalte an sie und hinter Ihrem Rücken verkaufen sie die Daten. Vielleicht habe ich die Bedeutung der Frage überhaupt nicht verstanden ...
Akira
@akira ist es nicht wirklich, aber die sichere Webanwendung ist nicht alles, womit Sie sich befassen müssen. Es gibt nicht wirklich eine Möglichkeit, um sicherzustellen, dass Ihre Daten sicher sind, da selbst Personen, die behaupten, sich um Ihre Informationen zu kümmern (erinnern Sie sich an Google Buzz?), Versehentlich Dinge mit Ihren Daten tun können, die Sie lieber nicht tun würden.
Blair Scott
4

Schlagen Sie einige nichttechnische Punkte vor, die Sie möglicherweise zusätzlich zu den von anderen genannten Sicherheitsmaßnahmen berücksichtigen möchten. Sie müssen die Website bis zu einem gewissen Grad verwenden, sodass Sie darauf vorbereitet sein müssen, Teile der Website anzuzeigen. Wenn Sie also wirklich besorgt sind, sollten Sie zuerst Vorsichtsmaßnahmen treffen (kein Skript, Deaktivieren von Cookies usw.).

  • Es gibt eine Kontaktseite , auf der eine physische Adresse und eine Telefonnummer für das Unternehmen aufgeführt sind.
  • Alle Links verweisen auf die Stelle, auf die sie verweisen sollen. Überprüfen Sie, ob die URL in der Statusleiste Ihren Erwartungen entspricht.
  • Sie können sich auf der Website umsehen, bevor Sie sich anmelden. Obwohl Sie keinen Zugriff auf alle Inhalte erwarten können, sollten Sie in der Lage sein, einige Bilder mit niedriger Auflösung, die ersten Absätze von Artikeln usw. anzuzeigen.
  • Alle Kosten werden vor Ihrer Anmeldung klar angegeben .
  • Es gibt eine kostenlose Option, die den Zugriff auf einige Inhalte ermöglicht.
  • Die Site sollte Sie nicht auffordern, etwas auf Ihrem Computer zu installieren.

Obwohl ich nicht erwarten würde, dass all dies immer vorhanden ist (abgesehen von der Kontaktseite) - schließlich ist jede Website anders -, würde ich einige Inhalte kostenlos erwarten.

ChrisF
quelle
1

Sie können nie 100% sicher sein.

Verschiedene Browser können Ihnen auf unterschiedliche Weise helfen:

IE hat mehrere Sicherheitsfunktionen

Wie auch Firefox

Und Chrome auch

Alle drei verfügen über eine Funktion, die mögliche Malware, Phishing, veraltete oder fehlerhafte Zertifikate erkennt.

Shevek
quelle
0

Mein Hauptanliegen ist die Sicherheit, nicht so sehr die Legitimität. Manchmal ist eine Site einfach so neu, dass Sie nicht viel darüber finden werden.

Aus Sicherheitsgründen würde ich testen, ob die Site XSS, CSRF, Verzeichnisüberquerung, Pufferüberläufe, SQL-Injection usw. verhindert. Es gibt verschiedene Möglichkeiten, einen der oben genannten Exploits zu testen, und jede Site, die Ihren Test nicht besteht, sollte mit Bedenken betrachtet werden.

cherrypj
quelle
0

Installieren Sie WOT oder SiteAdvisor oder suchen Sie die Website auf ihrer Website. Gehen Sie zur Seite der Website und lesen Sie die Bewertungen.

Gelatine
quelle