Web2py - Sicurezza
Nei capitoli precedenti, c'erano informazioni complete sull'implementazione di web2py con vari strumenti. La principale preoccupazione per lo sviluppo di applicazioni web2py include la sicurezza dal punto di vista dell'utente.
Le caratteristiche uniche di web2py sono le seguenti:
Gli utenti possono apprendere facilmente l'implementazione. Non richiede installazione e dipendenze.
È stato stabile dal giorno del lancio.
web2py è leggero e include librerie per Data Abstraction Layer e linguaggio per modelli.
Funziona con l'aiuto dell'interfaccia Web Server Gateway, che funge da comunicazione tra server Web e applicazioni.
Open web application security project (OWASP) è una community che elenca le violazioni della sicurezza delle applicazioni web.
Violazioni della sicurezza
Per quanto riguarda OWASP, i problemi relativi alle applicazioni web e il modo in cui web2py le supera sono discussi di seguito.
Cross Side Scripting
È anche noto come XSS. Si verifica ogni volta che un'applicazione prende i dati forniti da un utente e li invia al browser dell'utente senza codificare o convalidare il contenuto. Gli aggressori eseguono script per iniettare worm e virus utilizzando il cross side scripting.
web2py aiuta a prevenire XSS impedendo tutte le variabili renderizzate nel file View.
Perdita di informazioni
A volte, le applicazioni perdono informazioni sul funzionamento interno, sulla privacy e sulle configurazioni. Gli aggressori lo utilizzano per violare i dati sensibili, il che potrebbe portare a gravi attacchi.
web2py lo impedisce tramite il sistema di ticketing. Registra tutti gli errori e il ticket viene emesso all'utente di cui si sta registrando l'errore. Questi errori sono accessibili solo all'amministratore.
Autenticazione interrotta
Le credenziali dell'account spesso non sono protette. Gli aggressori compromettono le password, i token di autenticazione per rubare le identità dell'utente.
web2py fornisce un meccanismo per l'interfaccia amministrativa. Inoltre, forza l'utilizzo di sessioni protette quando il client non è "localhost".
Comunicazioni insicure
A volte le applicazioni non riescono a crittografare il traffico di rete. È necessario gestire il traffico per proteggere le comunicazioni sensibili.
web2py fornisce certificati abilitati SSL per fornire la crittografia delle comunicazioni. Questo aiuta anche a mantenere una comunicazione sensibile.
Restrizione nell'accesso con URL
Le applicazioni Web normalmente proteggono la funzionalità sensibile impedendo la visualizzazione dei collegamenti e degli URL ad alcuni utenti. Gli aggressori possono tentare di violare alcuni dati sensibili manipolando l'URL con alcune informazioni.
In wb2py, un URL si associa ai moduli e alle funzioni piuttosto che al file specificato. Include anche un meccanismo che specifica quali funzioni sono pubbliche e quali sono mantenute come private. Questo aiuta a risolvere il problema.