Le applicazioni Web senza server sono sicure?

2

Da quanto ho capito, se uso qualcosa come firebase per autenticare e scaricare dati dal database e ospitare la mia app web statica, che ha un sistema di autenticazione client, tutte le mie logiche sono disponibili pubblicamente. Ora è comprensibile che nessuno possa davvero fare nulla a meno che non siano autenticati. Possono vedere i portali dei client e tutto il resto (dal momento che la logica di accesso è lato client, possono semplicemente ignorarli) ma non vedranno alcun dato sensibile.

L'esposizione della logica al pubblico è così sicura? Un hacker può usare queste informazioni per fare qualcosa?

    
posta Tahnik Mustasin 18.04.2017 - 00:31
fonte

2 risposte

2

Le applicazioni serverless portano con sé molti vantaggi per la sicurezza delle applicazioni, specialmente quando si tratta di proteggere la piattaforma sottostante, che è ora la responsabilità del provider cloud. Non devi preoccuparti di applicare patch al sistema operativo, al server applicazioni e alla rete sottostanti. Tuttavia, le applicazioni serverless possono ancora soffrire di debolezze e vulnerabilità del livello applicativo. Consiglio vivamente di consultare la guida Top 10 relativa alla sicurezza senza server, pubblicata da PureSec: link

Informativa corretta - Sono uno degli autori di questo white paper.

    
risposta data 07.01.2019 - 18:45
fonte
2

Dipende da cosa è la tua definizione di "sicuro".

Parlando rigorosamente come ingegnere, la mia definizione di un'applicazione "sicura" è abbastanza semplice:

  • Non espone le informazioni sensibili (ad esempio credenziali, informazioni personali dall'uso dell'applicazione) a persone non autorizzate
  • Non può essere sfruttato come "punto di ingresso" per altri attacchi su altri server, o nel mio controllo o no
  • Non espone la logica aziendale sensibile o altre operazioni proprietarie basate sui dati memorizzati al suo interno

Tralascio lo scenario "snatch-and-grab" descritto per un dipendente interno alla tua organizzazione che preleva i dati dal tuo sistema e li distribuisce, dal momento che è una questione legale e politica più che una questione tecnologica. Da un punto di vista tecnico, le principali cose che puoi fare nello scenario questo sono garantire che l'accesso che hanno a quei sistemi sia revocato e che le credenziali utilizzate per l'app vengano ruotate.

Come per la maggior parte delle "sicurezza online", si riduce a un livello di fiducia presunta. Un'app Firebase opportunamente configurata probabilmente proteggerà da soggetti terzi non autorizzati l'accesso ai tuoi dati, impedirà agli attori di terze parti di compromettere il server su cui è attivo (ha ha di essere su qualcuno server da qualche parte ), e probabilmente non sarà eleggibile come trampolino di lancio per gli altri utenti per attaccare altri server.

Il problema sorge quindi con la fiducia di chi ospita i server Firebase. Sono loro affidabili e hanno una buona esperienza nel mantenimento dell'integrità dei dati? Quali politiche hanno in atto per un dipendente canaglia o scontento o danneggiando i dati (DoS efficace) o perdendo i dati? Dove si trova il contratto SLA che abbiamo con loro se dobbiamo portarli in tribunale?

Mi sono divertito con l'idea di usare Firebase per alcuni progetti di animali domestici, ma non mi sono mai impegnato a usarlo per qualcosa di importante finché non avrò almeno risposto alle domande legali. I dati con cui ho a che fare sono abbastanza sensibili da poter essere presi in prigione per una gestione impropria di esso, quindi dobbiamo essere molto consapevoli di chi gestisce i nostri dati e di cosa sono gli SLA.

    
risposta data 07.01.2019 - 19:14
fonte

Leggi altre domande sui tag