Tölvumál - 01.01.2017, Síða 8

Tölvumál - 01.01.2017, Síða 8
8 Önnur ógn sem er nátengd ógninni sem lýst var hér að framan er öryggi gagnanna. Gríðarlega mikilvægt er að huga vel að því hvernig fyrirspurnir og innsending gagna og gagnabreytinga eru formaðar og prófaðar (e. validation) og sendar inní gagnagrunnana sem og hvernig gögnunum er skilað til baka til vefsins eða forritsins. Eitt þekktasta dæmið um árás á gagnagrunna er SQL­innspýting (e. SQL­injection) þar sem hakkari bætir inní SQL­fyrirspurn og eða innsláttar­textasvæði, sínum SQL­skipunum og nær þannig að komast inní gagnagrunninn. Það er alltof algengt að forritarar átti sig ekki á að nýta þá einföldu tækni sem kemur í veg fyrir slíkar árásir. SQL innspýting er í dag (árið 2017 ) í fyrsta sæti skv. TOP 10 lista OWASP (www.owasp.org ) yfir ógnir sem steðja að tölvukerfum og gagnagrunnum. Og því miður hafa margir stærstu gagnalekar (e. data breaches) útí heimi undanfarin ár, þar sem persónugreinanlegar upplýsingar og kreditkorta­ upplýsingar hafa komist í hendur glæpagengja, einmitt notast við SQL­ innspýtingu. Hjúpun SQL­fyrirspurna og innsendinga gagna í kóða, sem og notkun á gagnagrunns­stefjum (e. stored procedures) ásamt góðri og ítarlegri prófun (e. validation) gagna fyrir innsendingu, skiptir sköpum í þeirri baráttu en það vill brenna oft við að hugbúnaðarlausnir skorti slíka nálgun í hönnun. Það er sérstaklega áberandi í vefkerfum þar sem SQL kóði er berskjaldaður fyrir hökkurum og sýnilegur í vafra með því einu að opna sýn á kóða síðunnar. LOKAORÐ Með þróun forritunarmála og gagnagrunna skapast gríðarleg fjölbreytni í hugbúnaðarlausnum fyrir vefi, bakvinnslukerfi sem og smá­forrita. Þessari fjölbreytni ber að fagna en að sama skapi þarf að vega og meta hverju sinni með ítarlegum prófunum hvort þessi eða hin lausnin henti þeim vandamálum sem glímt er við, m.t.t. öryggis gagna og afkastagetu og eins samanburði við gömlu lausnina. Hugbúnaðarþróun er langhlaup og eins og í langhlaupi þá krefst hugbúnaðarþróun agaðrar, vel skipulagðrar og markvissrar þjálfunar. Þjálfun og endurmenntun í hugbúnaðargerð og gagnagrunns­forritun/ hönnun, í ört vaxandi tækniframförum samtímans krefst mikillar athygli hugbúnaðar­sérfræðings á þeim framförum sem verða til þess að hann/ hún geti skapað sínum lausnum framgang í ört vaxandi samkeppni um betri, öruggari og hraðvirkari lausnir. Í orðaruglinu var að finna íslensk heiti fyrir eftirfarandi hugtök: Flest orðanna mátti finna á tos.sky.is, en einnig voru nokkur prufuhugtök á sveimi. batch processing runuvinnsla browse vafra cyberstalker neteltir debugging kembing domain lén electronic rafrænn emoticon lyndistákn hacker tölvuþrjótur hint / tooltip sviftexti local staðvær macro fjölvi nanorobot dvergþjarki pivot table veltitafla refresh uppfæra scroll bar skrunstika Nokkrar sögupersónur úr norrænni goðafræði solid-state disk storkudrif smeygðu sér einnig inn í gátuna: source control kóðavarsla URL vefslóð Geri Vili Mímir voice portal raddgátt Freki Vé Týr wizard álfur Fenrir Váli Sif ORÐARUGL Íslensk tölvuorð L A U S NLAUSN FRÁ SÍÐASTA BLAÐI

x

Tölvumál

Beinleiðis leinki

Hvis du vil linke til denne avis/magasin, skal du bruge disse links:

Link til denne avis/magasin: Tölvumál
https://timarit.is/publication/239

Link til dette eksemplar:

Link til denne side:

Link til denne artikel:

Venligst ikke link direkte til billeder eller PDfs på Timarit.is, da sådanne webadresser kan ændres uden advarsel. Brug venligst de angivne webadresser for at linke til sitet.