Ασφάλεια Εφαρμογών Ιστού

Abstract

Σε αυτό το κεφάλαιο αναπτύσσεται το θέμα της ασφάλειας στις διαδικτυακές εφαρμογές ιστού. Αναλύονται πρακτικά ζητήματα ασφαλείας και δίνονται σχετικά παραδείγματα. Η παρουσίαση ακολουθεί τη μεθοδολογία του «Top Ten Project» του Open Web Application Security Project (OWASP), το οποίο προδιαγράφει τις βασικές περιοχές ευπάθειας των διαδικτυακών εφαρμογών και τους τρόπους ανίχνευσης και αντιμετώπισής τους. Παρουσιάζεται το μοντέλο Role-Based Access Control (RBAC), δηλαδή ο μηχανισμός που αυθεντικοποιεί και εξουσιοδοτεί τα δικαιώματα πρόσβασης των χρηστών σε ένα Πληροφοριακό Σύστημα (ΠΣ). Επίσης, γίνεται αναφορά στην κρυπτογραφία και στις υποδομές δημόσιου κλειδιού (Public Key Infrastructure/PKI), καθώς και στα πρότυπα της Κοινοπραξίας του Παγκόσμιου Ιστού (World Wide Web Consortium/W3C), για την ασφάλεια των Υπηρεσιών Ιστού (Web Services/WS). Τέλος, παρουσιάζονται τα χαρακτηριστικά ασφάλειας της γλώσσας προγραμματισμού Java.

This chapter develops the topic of security in web applications. It addresses practical security issues and provides relevant examples. The presentation follows the methodology of the "Top Ten Project" by the Open Web Application Security Project (OWASP), which outlines the main areas of vulnerability in web applications and methods for detecting and addressing them. The Role-Based Access Control (RBAC) model is presented, which is the mechanism that authenticates and authorizes user access rights in an Information System (IS). Additionally, it covers cryptography and Public Key Infrastructure (PKI), as well as the standards set by the World Wide Web Consortium (W3C) for the security of Web Services (WS). Finally, it presents the security features of the Java programming language.