Web2py - Sécurité
Dans les chapitres précédents, il y avait des informations complètes sur la mise en œuvre de web2py avec divers outils. La principale préoccupation pour le développement d'applications web2py inclut la sécurité du point de vue de l'utilisateur.
Les caractéristiques uniques de web2py sont les suivantes -
Les utilisateurs peuvent facilement apprendre la mise en œuvre. Il ne nécessite aucune installation et dépendances.
Il est stable depuis le jour du lancement.
web2py est léger et comprend des bibliothèques pour la couche d'abstraction de données et le langage de modèle.
Il fonctionne avec l'aide de l'interface de passerelle de serveur Web, qui agit comme une communication entre les serveurs Web et les applications.
Open Web Application Security Project (OWASP) est une communauté qui répertorie les failles de sécurité des applications Web.
Failles de sécurité
En ce qui concerne OWASP, les problèmes liés aux applications Web et la façon dont web2py les surmonte sont abordés ci-dessous.
Scriptage transversal
Il est également connu sous le nom de XSS. Cela se produit chaque fois qu'une application prend des données fournies par un utilisateur et les envoie au navigateur de l'utilisateur sans encoder ni valider le contenu. Les attaquants exécutent des scripts pour injecter des vers et des virus à l'aide de scripts croisés.
web2py aide à empêcher XSS en empêchant toutes les variables rendues dans le View.
Fuite d'informations
Parfois, les applications fuient des informations sur le fonctionnement interne, la confidentialité et les configurations. Les attaquants l'utilisent pour violer des données sensibles, ce qui pourrait entraîner de graves attaques.
web2py empêche cela en utilisant le système de tickets. Il enregistre toutes les erreurs et le ticket est émis à l'utilisateur dont l'erreur est enregistrée. Ces erreurs ne sont accessibles qu'à l'administrateur.
Authentification cassée
Les informations d'identification du compte ne sont pas souvent protégées. Les attaquants compromettent les mots de passe, les jetons d'authentification pour voler les identités de l'utilisateur.
web2py fournit un mécanisme d'interface administrative. Cela oblige également à utiliser des sessions sécurisées lorsque le client n'est pas «localhost».
Communications non sécurisées
Parfois, les applications ne parviennent pas à chiffrer le trafic réseau. Il est nécessaire de gérer le trafic pour protéger les communications sensibles.
web2py fournit des certificats activés SSL pour assurer le cryptage des communications. Cela aide également à maintenir une communication sensible.
Restriction d'accès aux URL
Les applications Web protègent normalement les fonctionnalités sensibles en empêchant l'affichage des liens et des URL à certains utilisateurs. Les attaquants peuvent tenter de violer certaines données sensibles en manipulant l'URL avec certaines informations.
Dans wb2py, une URL correspond aux modules et aux fonctions plutôt qu'au fichier donné. Il comprend également un mécanisme qui spécifie quelles fonctions sont publiques et lesquelles sont maintenues comme privées. Cela aide à résoudre le problème.