Verkkosovellusten tietoturva
Keskinen, Kimmo (2010)
Tampereen ammattikorkeakoulu
2010
Creative Commons Attribution-NonCommercial-ShareAlike 1.0 Suomi
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2010121518230
https://urn.fi/URN:NBN:fi:amk-2010121518230
Tiivistelmä
Tämä opinnäytetyö tehtiin perehdytyksenä verkkosovelluksien tietoturvaan ja siinä käytettiin lähtökohtana PHP-sovelluskehitystä MySQL-tietokantaratkaisulla. Työn tarkoituksena oli vastata verkkosovellusten tietoturvallista kehittämistä koskevaan tutkimuskysymykseen verkkosovellusten tietoturvan eri osa-alueista kirja- ja verkkolähdekatsauksen pohjalta. Tässä tutkielmassa pyrittiin aiemman, tiukemmin rajatun tutkimuksen jatkoksi huomioimaan kokonaisuuksia suositeltavissa ratkaisuissa.
Keskeisiä tutkimusalueita olivat muun muassa salausmenetelmät ja niiden käyttö välitettävän tiedon luottamuksellisuuden, eheyden ja kiistämättömyyden tukemiseksi. Salatun yhteyden muodostaminen käyttäjän selaimen ja verkkosovelluspalvelimen välille osoittautui myös ratkaisevaksi tekijäksi useiden eri tietoturvaratkaisujen suhteen. verkkosovellusten tietoturvan kokonaisuuteen vaikuttavat säilytettävän tiedon määrä ja luotettavuuden aste, tietosyötteiden käsittely hyökkäysten varalta ja sovelluksen käytettävyyden turvaaminen suoritustehokkuutta parantamalla. Työssä esiteltiin ratkaisuja evästeiden ja istuntojen vahventamiseen, HTTPS-yhteyden käyttöönottoon ja merkitykseen, käyttäjäsyötteiden käsittelyyn sekä asiakas- että palvelinpuolen hyökkäystekniikoiden torjumiseksi, luottamukselliseen salasanojen hallintaan ja sekä verkkosovelluksen että PHP-tulkin asetustiedostojen tietoturvaan.
Yksittäiset ongelmat ja ratkaisut tietoturvallisuudessa eivät osoittautuneet teorialtaan tai käytännön ratkaisuiltaan erityisen haastaviksi. Koko tutkimuksen ajan painottuikin se, kuinka verkkosovelluksen eri osa-alueet ja haavoittuvuudet vaikuttavat toisiinsa ja kuinka useimpien ratkaisujen tulee heijastaa tätä kokonaistietoturvan näkemystä. Vaikuttaisi hälyttävältä, kuinka yksinkertaisia monet verkkosovelluksia koskevista ongelmista ovat, ja kuinka silti verkkokehityksen perusosaamiseen näyttäisi nykyään kuuluvan vain hyvin osittainen tuntemus tietoturvan kokonaisosaamisesta.
Keskeisiä tutkimusalueita olivat muun muassa salausmenetelmät ja niiden käyttö välitettävän tiedon luottamuksellisuuden, eheyden ja kiistämättömyyden tukemiseksi. Salatun yhteyden muodostaminen käyttäjän selaimen ja verkkosovelluspalvelimen välille osoittautui myös ratkaisevaksi tekijäksi useiden eri tietoturvaratkaisujen suhteen. verkkosovellusten tietoturvan kokonaisuuteen vaikuttavat säilytettävän tiedon määrä ja luotettavuuden aste, tietosyötteiden käsittely hyökkäysten varalta ja sovelluksen käytettävyyden turvaaminen suoritustehokkuutta parantamalla. Työssä esiteltiin ratkaisuja evästeiden ja istuntojen vahventamiseen, HTTPS-yhteyden käyttöönottoon ja merkitykseen, käyttäjäsyötteiden käsittelyyn sekä asiakas- että palvelinpuolen hyökkäystekniikoiden torjumiseksi, luottamukselliseen salasanojen hallintaan ja sekä verkkosovelluksen että PHP-tulkin asetustiedostojen tietoturvaan.
Yksittäiset ongelmat ja ratkaisut tietoturvallisuudessa eivät osoittautuneet teorialtaan tai käytännön ratkaisuiltaan erityisen haastaviksi. Koko tutkimuksen ajan painottuikin se, kuinka verkkosovelluksen eri osa-alueet ja haavoittuvuudet vaikuttavat toisiinsa ja kuinka useimpien ratkaisujen tulee heijastaa tätä kokonaistietoturvan näkemystä. Vaikuttaisi hälyttävältä, kuinka yksinkertaisia monet verkkosovelluksia koskevista ongelmista ovat, ja kuinka silti verkkokehityksen perusosaamiseen näyttäisi nykyään kuuluvan vain hyvin osittainen tuntemus tietoturvan kokonaisosaamisesta.