Здравствуйте, расскажите коротко о своей задаче
Нажимая кнопку «Отправить», вы принимаете правилами обработки персональных данных
Заявка отправлена

Спасибо за проявленный интерес к нашей компании, специалист свяжется с вами в ближайшее время

Услуги
Веб-разработка
Веб-разработкаКастомизированная разработка
Кастомизированная разработкаВнедрение и настройка ElasticSearchВы­со­ко­наг­ру­жен­ные пор­та­лы и сервисыРазработка на .NETРазработка на PHPРазработка на PythonРазработка на React.js
Платформенная разработка
Платформенная разработкаРазработка финансовых сайтовSEO Driven DevelopmentРазработка интернет-магазинаРазработка информационного порталаРазработка корпоративного сайтаРазработка медицинских сайтовРазработка образовательного порталаРазработка порталовРазработка сайта недвижимостиРазработка телемедицинского сервиса
Разработка мобильных приложений
Разработка мобильных приложенийРазработка приложения для поддержки пользователейРазработка приложений под iOSРазработка мобильных приложений для AndroidРазработка приложений на XamarinРазработка на React Native мобильных приложенийРазработка кроссплатформенных приложенийРазработка нативных приложенийРазработка гибридных приложенийРазработка приложений на Flutter
Автоматизация бизнеса
Автоматизация бизнесаАвтоматизация бизнес-процессовВнедрение машинного обученияОтчеты BI систем внедрение и настройка автоматизацииИнтеграция Битрикс24Корпоративное standalone решение на базе Битрикс24Быстрый перевод бизнеса в онлайнБитрикс24 Enterprise HRMB2B-порталCRM интеграция и настройкаОблачная версия Битрикс24Корпоративные порталы
UX/UI дизайн
UX/UI дизайнАудит задач и сценариев (прототипирование)Разработка дизайн-системыСоставление технического задания
Техподдержка интернет-проектов 24/7 по SLA
Техподдержка интернет-проектов 24/7 по SLAТехподдержка ReactАутсорс разработчиковАутстаффинг IT-специалистовТехподдержка .NETТехнологический партнер для стартапаNo-code разработкаТехподдержка мобильных сервисов
Техподдержка мобильных сервисовТехподдержка сервисов на Xamarin и React Native
Техподдержка сайтов и порталов
Техподдержка сайтов и порталовУскорение работы сайта
Выделенная команда разработчиков проекта
Digital-продвижение
Digital-продвижениеАудит сайтаИнтернет-рекламаНас­трой­ка WEB-ана­ли­ти­киОнлайн PR, SERM, SMMПо­ис­ко­вое прод­ви­же­ние. SEOПродвижение по лидамПродвижение по трафику
Наша работа
Кейсы
О нас
КомпанияБлогБаза знанийВакансии
Контакты
Здравствуйте, расскажите коротко о своей задаче
Нажимая кнопку «Отправить», вы принимаете правилами обработки персональных данных
Заявка отправлена

Спасибо за проявленный интерес к нашей компании, специалист свяжется с вами в ближайшее время

Как защитить данные пользователей web- и mobile -сервисов

< Все публикации
июль 2019 ~ 3 минИсточник itsec.ru
Дмитрий Никульчев

Безопасное программирование в DD Planet построено на нескольких принципах. Первый из них — это надежность. Работоспособность продукта должна быть предсказуема, корректна и безотказна. Даже в случае, если исходные данные введены некорректно (случайно или намеренно в рамках атаки на продукт).

Второй — безопасность. Возможность защиты от внешних угроз, атак и сохранение работоспособности после их отражения и устранения.

Третий — конфиденциальность. Обеспечение безопасной и корректной работы с персональными данными. Это критически важно при разработке корпоративных и пользовательских приложений.

Например, сервис Вместе.ру, разработкой и поддержкой которого занимается DD Planet, представляет собой приватную социальную сеть для соседей и содержит множество персональных данных. Профиль пользователя подтверждается с помощью Госуслуг, а принадлежность к определенному адресу (соседство) — выпиской ЕГРН из Росреестра. Это накладывает на разработчика серьезные обязательства, связанные с защитой личной информации.

Хранение и обработка пользовательских данных

Все персональные данные мы храним в ИСПДн (Информационной системе персональных данных). Они содержатся в изолированной виртуальной сети с защищенной ИТ-инфраструктурой. В виртуальную сеть интегрированы средства обнаружения вторжений, сервер анализа защищенности и поиска уязвимостей, а также сервер резервного копирования.

Для выявления уязвимостей применяем “ручной подход” и опираемся на экспертный анализ. Данный принцип не подразумевает использование каких-либо автоматизированных средств: исследование проводит опытный специалист, а при выявлении уязвимостей он ориентируется на собственные знания. Понятно, что данный прием влечет большие временные затраты и предполагает наличие в компании специалистов высокой квалификации. Однако он считается самым эффективным с точки зрения точности и полноты охвата данных при проверке.

Severity в борьбе за идеальный продукт

В клиентской разработке важно делать релизы вовремя, при этом приложение должно быть без багов и гарантировать пользователям безопасность. Следуя этому принципу, во время тестирования продуктов мы используем принцип оценивания задач по приоритету — Severity. То есть ранжируем все задачи по устранению багов в зависимости от степени негативного влияния на продукт дефекта.

Приоритетность в устранении багов в DD Planet следующая:

  1. В первую очередь мы выявляем и устраняем блокеры или ошибки, при которых у пользователя нет возможности выполнить целевое действие. Например, посетитель не может зарегистрироваться на сайте или в приложении; осуществить вход в аккаунт; получить доступ к целевым данным или к разделам приложения.
  2. Далее мы отслеживаем и устраняем критические баги — проблемы безопасности, зависания системы, неправильно работающий бизнес-процесс, периодические падения приложения.
  3. Затем анализируем проблемы medium-уровня — находим ошибки, которые появляются лишь в отдельных специфических ситуациях.
  4. Завершающим этапом вносим минорные правки — избавляемся от мелких багов, отрабатываем замечания по интерфейсу и так далее.

Такая последовательность помогает нам быстро избавляться от багов, концентрируясь на ключевых для пользователя аспектах.

Релиз продукта происходит в несколько этапов. Сперва он публикуется на тестовом окружении для выявления багов. Затем идёт багфиксинг приоритетов c уровнем Severity 1 и 2. После этого мы делаем релиз на продакшн. В течении некоторого времени после релиза часть команды занимается устранением багов с приоритетностью 3 и 4. Через несколько дней происходит еще одно обновление в prod после устранения оставшихся проблем.

Чтобы обеспечить максимальную безопасность продукта:

  • Используйте параметризованные запросы к Базе Данных.
  • Избавляйтесь от конструирования запросов внутри приложения, чтобы избежать sql-инъекций.
  • Подключайтесь к Базе Данных лишь под специальной заведенной учетной записью с минимально необходимым набором прав.
  • Регулярно ведите журналы безопасности.

Не доверяйте пользовательскому вводу: любые данные от клиента (пользователя) должны проверяться на сервере. Это позволит предотвратить прохождение скриптов или злонамеренных шестнадцатеричных кодов. Пользовательские данные часто передаются в качестве параметров для вызова другого кода на сервере и, если их не проверить, могут серьезно нарушить безопасность системы. Вот почему так важно строго проверять все входные данные на корректность.

Предыдущая публикация:Один день из жизни Full Stack .NET разработчикаСледующая публикация:Маркетинг для поколения Y: в чем особенности
Связаться с нами
Форматы: jpg, png, xls, xlsx, doc, docx, pdf
Размер до 5 МБ
Нажимая кнопку «Отправить», вы принимаете правилами обработки персональных данных
Заявка отправлена

Спасибо за проявленный интерес к нашей компании, специалист свяжется с вами в ближайшее время