نقش طراحان وب در برقراری امنیت برای کاربران

گردآوری و تالیف : ارسطو عباسی
تاریخ انتشار : 07 مرداد 1398
دسته بندی ها : طراحی وب

به عنوان طراح و یا توسعه‌دهنده وبسایت شما نقش بسیار مهمی را در محافظت از کاربرانی دارید که با وبسایت شما تعامل برقرار می‌کنند. البته با وجود اینکه چنین قضیه‌ای باید جدی گرفته شود اما بخش بزرگی از طراحان وبسایت به این قضیه باور نداشته و فکر نمی‌کنند که محافظت از کاربران وبسایت بخشی از وظیفه آن‌ها است. بیشتر طراحان وبسایت صرفا به این فکر می‌کنند که وبسایت‌شان چگونه کار می‌کند و ظاهر آن به چه شکلی است، اما دیگر به فکر امنیت و حریم شخصی کاربران نیستند. 

در روند ساخت یک وبسایت سازندگان آن نیاز دارند که به منابعی مانند سرورها، دیتابیس، پسوردها و… دسترسی داشته باشند. اما اگر این اطلاعات بدست افراد اشتباهی سپرده شود امنیت وبسایت تهدید خواهد شد. از طرفی دیگر اگر طراح وبسایت یک آسیب‌پذیری هر چند کوچک را به صورت ناخواسته در وبسایت به وجود بیاورد، شانس بیشتری را برای افشای داده‌های شخصی کاربران توسط نفوذگرها به وجود آورده است. رخنه و افشای داده‌های شما می‌تواند در یک چشم به هم زدن کل شرکت و سرمایه شما را بر باد دهد.

یک مثال واقعی!

در سال ۲۰۱۵ توسعه‌دهندگانی که وبسایت Alpine Bank را ایجاد کردند به عنوان مسئول ۱۵۰ هزار دلار دزدیده شده بانک معرفی شدند. رای دادگاه بر این منوال بود که چرا این توسعه‌دهندگان اطلاعات مشتری‌ها را رمزنگاری نکرده بودند و یا حداقل از یک سیستم آنتی‌ویرویس در مدیریت سرویس میزبانی استفاده نکرده بودند. حملات سایبری اغلب اوقات بسیار گران تمام می‌شود. به همین دلیل نیاز است که بسیار مراقب آن‌ها بود.

در این مطلب از وبسایت راکت قصد داریم در رابطه با مهمترین موضوعاتی صحبت کنیم که به عنوان یک طراح و یا توسعه‌دهنده وبسایت باید در ارتباط با امنیت وبسایت آن‌ها را در نظر بگیرید. اگر بتوانید چنین کاری را به خوبی انجام دهید قطعا به عنوان نکته‌ای مهم می‌توانید در رزومه‌تان آن را بنویسید.

طراحان وبسایت باید از کاربران‌شان با GDRP محافظت کنند

GDRP یا مقررات عمومی حفاظت از داده اتحادیه اروپا یکی از قواعد سفت و سخت برای حفاظت از داده‌های کاربران است که در ۲۵ می سال ۲۰۱۸ در سراسر اتحادیه اروپا به اجرا در آمد. در‌واقع به عنوان یک طراح وبسایت شما باید خودتان را با قواعد ذکر شده در GDRP آشنا کرده و آن‌ها را روی محصولات دیجیتالی که ایجاد می‌کنید اعمال نمایید. 

حال طراحان و توسعه‌دهندگان باید در قدم‌های اول ساخت وبسایت به امنیت و حریم شخصی آن فکر کرده و براساس یک چارچوب مشخص حرکت کنند. چهارچوبی که در رابطه با امنیت و طراحی وبسایت مطرح است Privacy By Design نام دارد که می‌گوید تکنولوژی ها در خلال طراحی‌شان باید روی حفاظت از داده نیز تمرکز داشته باشند. در GDPR مشخص شده که Privacy by Design باید شامل مواردی مانند رمزگذاری داده‌ها، ناشناس‌سازی، احرازهویت کاربران و پیاده‌سازی تکنیکی موضوعات خاص شود. 

هر وبسایتی که از کوکی کاربران استفاده می‌کند و یا به هر نحوی اطلاعاتی از آن‌ها جمع آوری می‌کند باید پیغام سازگاری با GDPR را در ابتدای وبسایت نمایش داده و از کاربران بخواهد که در ارتباط با برداشتن داده‌ها و ذخیره آن‌ها روی سرور تاییدیه بگیرد. از طرفی دیگر وبسایت شما باید یک Privacy Policy مشخص داشته باشد که در آن به صورت شفاف مواردی که از کاربران برای وبسایت جمع‌آوری و ذخیره می‌شود را ذکر کند.

انتخاب حریم شخصی در مقابل شخصی‌سازی

مدت‌ها پیش وبسایت‌ها بسیار ساده بودند، ما چیزی تحت عنوان شخصی‌سازی تجربه کاربری برای کاربران نداشتیم و همه چیز بسیار ساده تعریف می‌شد. اما این حالت‌ها به سرعت تغییر کرد و حال شما می‌توانید براساس داده‌هایی که از کاربران دریافت می‌کنید تجربه‌ای شخصی‌سازی شده به آن‌ها تحویل دهید. شخصی‌سازی شامل بازیابی اطلاعاتی می‌شود که از کاربران دریافت می‌شود، از این رو می‌شود که قابلیت‌های استفاده بهتری از وبسایت را برای کاربران فراهم کنید.

اما این حالت یک مشکل دارد و آن این است که شما هر چقدر داده بیشتری در اختیار داشته باشید نیاز دارید که از داده‌های بیشتری محافظت کنید به همین دلیل نیاز است که روی موضوع امنیت تأکید بیشتری بکنید. شاید بگویید که نیازی به دریافت داده‌های بیشتر از کاربران ندارید اما این موضوع یکی از اصول تجربه کاربری است و شما باید از آن استفاده کنید. پس بجای پاک کردن صورت مسأله آن را باید حل کنید.

طراحان و توسعه‌دهندگان باید بیشترین همکاری را با همدیگر داشته باشند

برای ایجاد وبسایتی امن طراحان و توسعه‌دهندگان وب باید با همدیگر همکاری داشته باشند.  البته ممکن است بگویید که طراحان در بخش فرانت-اند کار می‌کنند و توسعه‌دهندگان روی بک-اند تمرکز دارند، این دو به همدیگر مرتبط نیستند! اما اینگونه نیست. این دو بخش باید با همدیگر همکاری داشته باشند چرا که اطلاعات از سمت مشتری جمع‌آوری شده «فرانت-اند» و نیاز به پردازش و مدیریت دارند «بک-اند». بنابراین باید بین این دو انعطاف و همکاری کافی وجود داشته باشد.

طراحان و توسعه‌دهندگان باید سر این موضوع که چه اطلاعاتی از کاربران جمع‌آوری کنند به یک نقطه مشترک برسند. به یاد داشته باشید که محافظت از داده‌های کاربران به معنی محافظت از مشتری است، عاملی که باعث پایداری یک کسب و کار می‌شود.

فرانت-اند نقشی کلیدی در امنیت اطلاعات کاربران دارد

XSS یا Cross-site scripting آسیب‌پذیری است که می‌تواند بدون آنکه متوجه شوید وبسایت‌تان را نابود کند. با وجود آنکه نفوذگرها قبلاً فقط روی بک-اند تمرکز داشتند اما حال متوجه شده‌اند که بخش فرانت-اند وبسایت نیز می‌تواند آسیب‌پذیری‌های بسیار زیادی داشته و درگاهی برای ورود به سیستم وبسایت باشد.

به همین دلیل طراحان وب باید توجه بسیار زیادی به APIها، المان‌های HTML، کوکی‌ها و منابع اشتراکی Cross-Origin داشته باشند. تمام این مکانیسم‌ها می‌تواند روی امنیت وبسایت تاثیرگذار باشد.

در پایان

در گذشته تنها کسی را که می‌شد به عنوان خطاکار حملات دانست سرویس میزبانی بود. با این حال، امروزه چیزهای بسیار زیادی تغییر کرده است و در این جریان توسعه‌دهندگان و طراحان وظایف بسیار سختی را بر عهده گرفته‌اند. 

بهتر است قبل از آنکه وارد عمل برای طراحی و توسعه وبسایت شوید تا حدی با موضوعات امنیتی آشنایی پیدا کرده و مطمئن شوید که آسیب‌پذیری‌های عمومی در وبسایت‌تان وجود ندارد.

منبع

مقالات پیشنهادی

  • مقدمه‌ای برای امنیت وب

    هدف این پست، توضیح الگوریتم‌های امنیت وب رایج به روشی است که به سادگی قابل درک باشد، اما همچنان دقیق باشد. قبل از این که این کار را انجام دهیم، بیایید...

    عرفان کاکایی