|
Dasturiy vosita xavfsizligining fundamental prinsiplari
|
| bet | 87/111 | | Sana | 20.05.2024 | | Hajmi | 2,03 Mb. | | #246571 |
Dasturiy ta’minot yaratilganida va foydalanilganida qator prinsiplarga amal qilish talab qilinadi. Quyida OWASP tashkiloti tomonidan taqdim etilgan prinsiplar keltirilgan:
Hujumga uchrashi mumkin bo‘lgan soha maydonini minimallashtirish. Dasturiy ta’minotga qo‘shilgan har bir xususiyat dasturga ma’lum miqdordagi xavf darajasini ham qo‘shadi. Dasturni xavfsiz amalga oshirishning maqsadi – hujumga uchrashi mumkin bo‘lgan sohani toraytirish orqali umumiy dasturdagi xavfni kamaytirish. Masalan, web saytlarda onlayn yordamini amalga oshirish uchun qidirish funksiyasi mavjud. Biroq, ushbu imkoniyat web saytga SQL – inyeksiya hujumi bo‘lishi ehtimolini keltirib chiqarishi mumkin. Qidiruv imkoniyati autentifikatsiyadan o‘tgan foydalanuvchilar uchun bo‘lsa, hujum bo‘lishi ehtimoli kamayadi. Agar qidiruv ma’lumotlari markazlashgan tarzda tekshirilsa, ushbu hujum ehtimoli yanada kamayadi.
Xavfsiz standart sozlanmalarini o‘rnatish. Amalda, aksariyat dasturiy ta’minotlarda va operatsion tizimlarda ko‘plab xavfsizlik sozlanmalari standart tartibda o‘rnatilgan bo‘ladi. Biroq, bu foydalanuvchilar tomonidan yaxshi qabul qilinmaydi va shuning uchun, aksariyat hollarda, ushbu sozlanmalarni o‘chirib qo‘yish amalga oshiriladi. Masalan, operatsion tizimlarda parollarni eskirish vaqti standart holda o‘rnatilgan bo‘lsada, aksariyat foydalanuvchilar tomonidan ushbu sozlanma o‘chirib qo‘yiladi.
Minimal imtiyozlar prinsipi. Axborot xavfsizligi, informatika, dasturlash va boshqa sohalarda keng qo‘llaniluvchi minimal imtiyozlar prinsipi (Principle of least privilege) – hisoblash muhitidagi u yoki bu abstraksiya darajasida resurslarga murojaatni tashkil qilish. Bunga ko‘ra har bir modul o‘z vazifasini to‘laqonli bajarishi uchun zarur bo‘lgan resurs yoki axborotdan minimal darajada foydalanish talab etiladi.
Bu prinsip foydalanuvchi yoki dasturchiga faqat o‘z vazifasi uchun zarur bo‘lgan imtiyozlarga ega bo‘lishi kerakligini anglatadi. Masalan, vaqt o‘tkazish uchun ishlab chiqilgan turli mobil o‘yin dasturlari SMS xabarni o‘qish yoki qo‘ng‘iroq qiluvchilar ro‘yxatini bilish imkoniyatiga ega bo‘lishi shart emas. Masalan, dasturlash tillarida (Java dasturlash tilida keltirilgan) obyektlardan foydanishni cheklash uchun turli kalit so‘zlardan foydalaniladi (7.2-jadval).
7.2-jadval
Java dasturlash tilidagi foydalanuvchi imtiyozlari
|
| |
