General considerations
Een
compleet
veilig
systeem
is
eigenlijk
onmogelijk
,
maar
een
aanpak
die
vaak
wordt
gebruikt
bij
beveiliging
van
systemen
is
het
uitbalanseren
van
risico
en
bruikbaarheid
.
Als
elke
geposte
variabele
wordt
gecontroleerd
door
een
gebruiker
twee
vormen
van
biometrische
authenticatie
te
laten
doen
(
zoals
een
netvliesscan
en
een
vingerafdruk
)
,
dan
zou
je
een
enorm
veilig
systeem
hebben
.
Op
deze
manier
zal
het
wel
een
uur
duren
om
een
redelijk
complex
web
formulier
in
te
vullen
.
Op
deze
manier
zullen
gebruikers
een
manier
gaan
zoeken
om
de
beveiliging
te
omzeilen
om
hun
werk
te
doen
.
De
beste
manier
van
beveiliging
is
vaak
te
strak
om
gebruikers
gewoon
kun
werk
te
laten
doen
,
of
om
de
developer
dood
te
gooien
met
vergaande
complexiteit
.
Sommige
manieren
van
aanvallen
op
systemen
zijn
zelfs
ontstaan
vanwege
een
overkill
aan
beveiliging
.
Een
regel
om
te
onthouden
:
Een
systeem
is
even
veilig
als
de
zwakste
schakel
.
Als
alle
transacties
zwaar
worden
gelogd
om
basis
van
tijd
,
locatie
,
transactie
type
,
etc.
,
maar
de
gebruiker
wordt
alleen
maar
geverifieerd
op
bases
van
éé
,
dan
is
de
controle
op
de
gebruiker
in
het
transactie
log
redelijke
onzin
.
Houd
tijdens
het
testen
in
gedachten
dat
je
nooit
alle
mogelijkheden
kan
testen
voor
zelfs
de
simpelste
pagina
.
De
invoer
die
je
voor
je
kiezen
kan
krijgen
verschilt
natuurlijk
tussen
een
ontevreden
werknemer
,
een
cracker
,
met
maanden
van
onderzoek
achter
de
hand
,
of
een
huiskat
die
over
het
toetsenbord
loopt
.
Daarom
is
het
belangrijk
om
vanuit
een
logisch
perspectief
te
kijken
en
zo
uit
te
vinden
waar
vreemde
gegevens
tot
stand
kunnen
komen
,
en
wat
voor
implicaties
dit
kan
hebben
op
de
rest
van
de
code
.
Het
Internet
zit
vol
met
mensen
die
proberen
naam
te
maken
door
proberen
in
te
breken
in
jouw
code
,
het
laten
crashen
van
je
site
of
ongewenste
teksten
te
plaatsen
,
om
so
je
dag
wat
interesanter
te
maken
.
Het
maakt
niet
uit
of
je
een
kleine
of
grote
website
hebt
,
je
kunt
alleen
al
worden
aangevallen
omdat
je
simpelweg
online
bent
en
een
server
met
internet
toegang
heeft
.
Veel
cracking
programma
'
s
kijken
niet
naar
de
grote
van
een
site
,
ze
proberen
simpelweg
massieve
IP
blokken
door
te
zoeken
naar
mogelijke
slachtoffers
.
Zorg
dat
je
er
geen
wordt
.