Web Tasarım Güvenliği

Web tasarım güvenliği web uygulamalarının çoğunda önemli bir ihtiyaçtır ve bu konuda ne kadar erken kafa yormaya başlarsanız işiniz sırasında başınız o kadar az ağrır ve o kadar para kaybına uğrarsınız. ASP.NET 2.0 ike bir çok yeni güvenlik özelliği ve gelişmesi geldi. Eğer forms kimlik denetimi kullanıyorsanız, bu yeni versiyonda da üzerinde çok durulduğunu duymak hoşunuza gidecektir. Ayrıca sağlam bir sağlayıcı modeli ile kullanıcı hesaplarını ve rollerini yönetmek kolay bir hal almıştır.

Ne Kadar Güvenliğe İhtiyacınız Var? Bu soru ilk olarak sorulması gereken harika bir soru! Her güvenlik önlemini alırken bir şeyden de fedakarlık edersiniz. Bu “şey” kullanım kolaylığı,maliyet, geliştirme kolaylığı, yönetim kolaylığı vb olabilir. Mesela şifrelerin ne kadar karmaşık olması gerektiğini ele alalım. Eğer web tasarım uygulamamız insanlara her yerden bulunabilen hava durumu raporlarını veriyorsa güçlü şifreler kullanmamız karşılığında yapmamız gereken fedekarlığa değmeyecektir. Hatta bu durumda kullanıcıları login olmakla bile uğraştırmamıza gerek yoktur. Diğer taraftan bir şirketin varlıklarını ya da kullanıcılarımıza özel bilgileri koruyorsak, güçlü bir şifre politikamız olması gerekir ki uygulmamız yeterince güvenli olsun.

Sonuçta buda sizin işinizdir: web uygulamalarınızın karşılaşabileceği her türlü tehdide karşı yeterince güçlü olmasını sağlamak. Uygun bir güvenlik duruşunu seçmek üzereyken de şunları düşünmemiz gerekir: elimizdeki bilgiler bir saldırgan için ne kadar önemli? Bu bilgileri elde edebilmek için bir saldırgan ne kadar ileri gidebilir? Ve bu bilgileri korumak için ne kadar bedel ödemeye (ya da fedarkarlık yapmaya) hazırız? Bu probleme yaklaşmak için için bir tehdit modeli kurabiliriz. Tehdit modellerini Microsoft’un pattens&practices internet sitesinden öğrenebilirsiniz. Tehdit modelini koyduktan sonra işimize rahat rahat devam edebiliriz, çünkü artık elimizde öncelik sırasına konulmuş olarak bize karşı olan tehditler ve savunmasız yanlarımızın bir listesi vardır. Ancak istediğimiz tüm güvenlik özelliklerini uygulayacak kadar ne paramız ne de zamanımız var. O Yüzden zamanımızı ilk olarak en üst öncelik düzeyindeki güvenlik sorunlarına ayırmamızda fayda var web tasarım yapmadan önce.