Søg

Sikker webudvikling

Undgå lækage af personlige oplysninger på internettet.

04. september 2015 kl. 18.48
Artikel top billede

(Foto: Computerworld)

Af Tom Madsen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

I de senere år har vi set en flodbølge af nye hacks, der frigiver et utal af personlige oplysninger på Internettet. Vi har set eksempler på hacks, der har resulteret i hundredvis af millioner af oplysninger på kunder og ansatte, der pludseligt ligger frit tilgængelige på internttet. Hackerangreb er ikke længere noget, vi hører om i pressen en gang eller to om året, det er på en ugentlig basis, at vi hører om disse hackerangreb, og de konsekvenser det har for både firmaerne og de ramte kunder og ansatte.

Der er mange grunde til, at det lykkedes for angriberne at trænge ind i systemerne, og mange måder for dem at gøre det på, men der er dog også ganske mange muligheder for at gøre det vanskeligere for dem at trænge ind. I denne artikel vil jeg fokusere på et framework fra organisationen OWASP. Du kender måske allerede OWASP, fra de ti sårbarheder, der bliver frigivet derfra hvert tredje år. Du kan se de to seneste på figur 1.
OWASP er en organisation, der er rettet imod at oplyse og hjælpe organisationer med sikkerheden i deres webudviklings-projekter.

Med hjælp mener jeg, at de har udviklet metoder og teknikker, der kan inkorporeres i et udviklingsprojekt, og af den vej medvirke til at reducere de sårbarheder der måtte være i applikationen. OWASP er det man kalder en ’Non Profit Organisation’, og de anbefaler ikke produkter fra leverandører. Deres fokus er kun på, hvordan en web-applikation bliver udviklet på en sikker måde, og ikke på de teknologier der bliver brugt til udviklingen. OWASP har adskillige teknikker og processer, men her vil jeg fokusere på den der hedder CLASP.

Clasp gør web-appen sikker

CLASP står for Comprehensive Lightweight Application Security Process. CLASP er fremkommet fra mange års erfaring med udviklingsprojekter og er designet til at kunne blive tilføjet til de allerede eksisterende ALM- (Application Lifecyckle Management) teknikker i brug. CLASP er delt ind i enkelt aktiviteter rettet imod de personer, der er i de forskellige roller i et udviklingsprojekt. Aktiviteterne hjælper så disse personer med retningslinjer for, hvordan de skal reducere/fjerne antallet af sårbarheder i applikationen. Det vil sige, at der findes aktiviteter for udviklere, projektledere, testere m.m.

De enkelte aktiviteter er delt ind i det, man kalder for Views i CLASP. Du kan se, hvordan de enkelte Views er inddelt på figur 2. Det er inddelingen på figur 2, der gør, at man kan tilføje CLASP-metodikken til en allerede eksisterende ALM. Læg mærke til at det først er fra View II, at man skal til at tildele roller. Det samme gør sig gældende for de andre OWASP-metodikker. Der er en fase, hvor man evaluerer, om metodikken er den rette for et udviklingsprojekt.

Når man når til View III, er man nået til der, hvor arbejdet med CLASP begynder. Det er her selve evalueringen af udviklingsprojektet begynder, og de enkelte risici-områder bliver identificeret. Det er også her, at man evaluerer den risiko, man løber ved ikke at sætte ind overfor en identificeret risiko. Mens man er i View II, består evalueringen også i identificeringen af, om nogle af aktiviteterne er anvendelige på udviklingsprojektet.

I View IV begynder så selve arbejdet med at implementere de aktiviteter, der er blevet identificeret i View III. Der er i alt 24 individuelle aktiviteter i CLASP, men under View III, er det ikke nødvendigvis alle 24, der er blevet dømt anvendelige i udviklingsprojektet. I View V er de aktiviteter, der er blevet fundet anvendelige i View III og IV, fuldt integreret i ALM for projektet. Der er ikke noget til hinder for, at implementeringen af CLASP- aktiviteterne sker en af gangen.

Så hvis man f.eks. bruger Scrum, kan de enkelte aktiviteter blive implementeret sammen med de enkelte sprints i projektet. OWASP kommer med masser af hjælp til de enkelte dele af CLASP. Min personlige favorit er de Use Cases, der kommer sammen med CLASP-dokumentationen. På figur 3, kan du se hvor i processen disse Use Cases passer. De Use Cases, der kommer med CLASP, er rettet imod den traditionelle http-applikation, men kommer også med Cases til både Unix og Mainframe! CLASP har naturligvis også definitioner for sårbarheder.

For CLASP består en sårbarhed i en fejl i applikationen, der gør det muligt for en angriber at tilegne sig øgede rettigheder i applikationen. Hvad vil det sige, kan man spørge. Softwarefejl, specielt sikkerhedsfejl, kan klassificeres på mange måder. I nogle metodikker er en fejl, der får applikationen til at gå ned, klassificeret som en sikkerhedsfejl, men for CLASP er en sikkerhedsfejl noget, der giver en angriber adgang til data og/eller applikationsoperation.

CLASP har klassificeret 104 problemer i applikationssoftware, der danner basis for sårbarheder. 104 lyder måske som meget, men det er ikke nødvendigvis en fejl i en enkelt blok af kode, men en fejl, der sammen med en fejl i en eller flere andre kodeblokke tilsammen vil udgøre sårbarheden.

Flere andre metoder

Det her var en hurtig introduktion til CLASP-metodikken fra OWASP. OWASP har flere andre metoder, der kan finde anvendelse i et applikations-udviklingsprojekt. Der findes endda anbefalinger for projekter, der er baseret på Java og .NET. Har du selv ideer til et projekt, som kunne have interesse for OWASP, så er der rig mulighed for at komme i gang med det.

På OWASP-hjemmesiden (www.owasp.org) kan du downloade deres projektguide. Her til sidst skal det siges, at OWASP ikke er de eneste, der har anbefalinger for sikre software-udviklingsprojekter. F.eks. har Microsoft selv deres egne retningslinjer for sikker programmering. Fra de mere åbne organisationer er der anbefalinger fra www.cert.org og www.isc2.org.

Uanset hvilken metode du vælger at bruge, så er det at tænke sikkerhed ind fra starten, ikke bare i selve applikationen, men i selve udviklingen af den, en god idé! Ikke bare for dig selv og din organisation, men også for de kunder du har, og som køber din applikation, og for dem der har data gemt i applikationen. Hvis vi skal væk fra alle de kæmpe historier om datalækager i medierne, så er sikkerhed ikke længere noget, der skal tilføjes applikationen til sidst, men tænkes ind fra starten af.

Læses lige nu

    Seneste nyt

    |Vis seneste uge

    Annonce

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Medarbejdere til arkitekturledelsesteam for styring af Strategisk Arkitekturforum og Arkitekturløsningsforum i Forsvaret

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Sektionschef til Enterprise Arkitektur i Forsvaret på Østerbro

    Københavnsområdet

    TV2

    Identity Lifecycle & Access Management Specialist til IAM-teamet

    Fyn

    Politiets Efterretningstjeneste

    IT Sikkerhedsarkitekt i PET

    Københavnsområdet

    Se flere it-stillinger
    Teaser billede

    Annonceindlæg tema

    AI i bevægelse - forretning, agenter og potentiale

    I dette særtema om aspekter af AI ser vi på skiftet fra sprogmodeller til AI-agenter, og hvordan virksomheder kan navigere i spændet mellem teknologisk hastighed og behovet for menneskelig kontrol.

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Mohamed El Haddaoui, er pr. 7. april 2026 ansat hos Dafolo A/S som IT-systemudvikler. Han skal især beskæftige sig med udviklingsopgaver relateret til Brugerklubben SBSYS. Han er nyuddannet datamatiker og har erfaring med udvikling af REST API'er og integreret databaser. Nyt job

    Mohamed El Haddaoui

    Dafolo A/S

    Renewtech ApS har pr. 15. marts 2026 ansat Jouni Salo som Account Manager for Sverige. Han skal især beskæftige sig med med at styrke Renewtechs nordiske tilstedeværelse med fokus primært på det svenske marked. Han kommer fra en stilling som Key Account Manager hos GoGift. Han har tidligere beskæftiget sig med udvikling af salgsaktiviter og kunderelationer på tværs af flere markeder. Nyt job

    Jouni Salo

    Renewtech ApS

    Renewtech ApS har pr. 15. marts 2026 ansat Per Forberg som Account Manager for Sustainable Relations. Han skal især beskæftige sig med etablere nye partnerskaber med henblik på ITAD og sourcing kontrakter med hostingvirksomheder og strategiske slutbrugere. Han kommer fra en stilling som Nordic Key Account Manager hos Tesa. Han er uddannet hos Lund University og har en MBA i Management. Han har tidligere beskæftiget sig med at styrke salgsaktiviteter og partnerskaber på tværs af nordiske markeder. Nyt job

    Per Forberg

    Renewtech ApS

    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    Se mere fra navnenyt

    Mest læste

    1 Nets ramt af kæmpe-nedbrud: Kortbetalinger afvises over hele landet
    2 Nets er tilbage i normal drift og peger på intern fejl som årsag til nedbrud: ”Vi beklager"
    3 Morgen-briefing: Pär Fors bliver CEO i Iver Group / Danskere siger nej tak til chatbots / Verdensmester i hotdogspisning - fordi AI-svar kan manipuleres
    4 Efter endnu et kæmpe Nets-nedbrud: Resiliens er noget vi har i Danmark - så længe alting virker
    5 Vi tester normalt ikke gadgets: Men når en af slagsen kan lindre myggestik, gør vi en undtagelse
    6 Lenovos nye lækre bærbare computer er en ekstrem letvægter - vejer lidt over 900 gram
    7 Huawei-routere fik telenet til at kollapse i tre timer: Nu er årsagen er fundet
    8 Vibe coding kan blive dit næste sikkerhedsmareridt

    Se seneste uge