20-маъруза. Дастурий воситалардаги хавфсизлик муаммолари
Дастурий восита хавфсизлигининг фундаменталь принциплари
Download 64.01 Kb.
|
20-ma\'ruza
|
7.2. Дастурий восита хавфсизлигининг фундаменталь принциплари
Дастурий таъминот яратилганида ва фойдаланилганида қатор принципларга амал қилиш талаб қилинади. Қуйида OWASP ташкилоти томонидан тақдим этилган принциплар келтирилган: Ҳужумга учраши мумкин бўлган соҳа майдонини минималлаштириш. Дастурий таъминотга қўшилган ҳар бир хусусият дастурга маълум миқдордаги хавф даражасини ҳам қўшади. Дастурни хавфсиз амалга оширишнинг мақсади – ҳужумга учраши мумкин бўлган соҳани торайтириш орқали умумий дастурдаги хавфни камайтириш. Масалан, веб сайтларда онлайн ёрдамини амалга ошириш учун қидириш функцияси мавжуд. Бироқ, ушбу имконият веб сайтга SQL – инъекция ҳужуми бўлиши эҳтимолини келтириб чиқариши мумкин. Қидирув имконияти аутентификациядан ўтган фойдаланувчилар учун бўлса, ҳужум бўлиши эҳтимоли камаяди. Агар қидирув маълумотлари марказлашган тарзда текширилса, ушбу ҳужум эҳтимоли янада камаяди. Хавфсиз стандарт созланмаларини ўрнатиш. Амалда, аксарият дастурий таъминотларда ва операцион тизимларда кўплаб хавфсизлик созланмалари стандарт тартибда ўрнатилган бўлади. Бироқ, бу фойдаланувчилар томонидан яхши қабул қилинмайди ва шунинг учун, аксарият ҳолларда, ушбу созланмаларни ўчириб қўйиш амалга оширилади. Масалан, операцион тизимларда паролларни эскириш вақти стандарт ҳолда ўрнатилган бўлсада, аксарият фойдаланувчилар томонидан ушбу созланма ўчириб қўйилади. Минимал имтиёзлар принципи. Ахборот хавфсизлиги, информатика, дастурлаш ва бошқа соҳаларда кенг қўлланилувчи минимал имтиёзлар принципи (Principle of least privilege) – ҳисоблаш муҳитидаги у ёки бу абстракция даражасида ресурсларга мурожаатни ташкил қилиш. Бунга кўра ҳар бир модул ўз вазифасини тўлақонли бажариши учун зарур бўлган ресурс ёки ахборотдан минимал даражада фойдаланиш талаб этилади. Бу принцип фойдаланувчи ёки дастурчига фақат ўз вазифаси учун зарур бўлган имтиёзларга эга бўлиши кераклигини англатади. Масалан, вақт ўтказиш учун ишлаб чиқилган турли мобил ўйин дастурлари SMS хабарни ўқиш ёки қўнғироқ қилувчилар рўйхатини билиш имкониятига эга бўлиши шарт эмас. Масалан, дастурлаш тилларида (Java дастурлаш тилида келтирилган) объектлардан фойданишни чеклаш учун турли калит сўзлардан фойдаланилади (7.2-жадвал). 7.2-жадвал Java дастурлаш тилидаги фойдаланувчи имтиёзлари
Download 64.01 Kb. Do'stlaringiz bilan baham: 
|