Voor het onderwerp beveiliging ben ik op zoek naar de beste manier om een foutieve post in de database op te slaan om daarna een analyse uit te voeren.
Eerst dacht ik aan base64_encode om de complete post op te vangen.
Dit leek me niet meer voldoende wanneer er geen limiet op de ingevoerde gegevens staat en de server te lang zou bezig zijn met verwerken (download) van de post met alle gevolgen van dien.
tenzij de base64 code in een fysiek bestand op de server kan bewaard worden onder bv foutecode01012021.1.txt
Foutafhandeling is niet eenvoudig en denken als een hacker helpt niet bij het veiligheidsgevoel.
Hoe kan dit het beste worden aangepakt?
?Onbekende gebruiker
20-04-2021 09:38
gewijzigd op 20-04-2021 09:40
Het is heel goed om na te denken over beveiliging en AVG. De reacties zijn adviezen die je een hoop moeite kunnen besparen, en die er voor zorgen dat je een betere graad van beveiliging en privacy krijgt.
> "Wanneer het formulier rechtstreeks werd aangeroepen vanuit een host buiten het eigen domein."
Dit type aanval kan worden tegengegaan met een CSRF-token, alle informatie over hoe je dat doet staat hier: https://owasp.org/www-community/attacks/csrf
> "Wanneer velden zoals checkboxen andere zaken bevatten dan "on" en niet leeg zijn."
Een webapplicatie moet nooit klakkeloos alles opslaan, maar elk ingestuurd formulier controleren of het voldoet aan de eigen ("business"-) logica. Voldoet een ingestuurd formulier niet, dan moet de webapplicatie het formulier weigeren, en - voor de 99% niet-kwaadwillenden - vriendelijk aangeven wat ze moeten doen om het wel goed te krijgen.
Als je deze opties die hier worden aangereikt afzet tegen de redelijke zinloosheid van alles maar opslaan, dan lijkt het mij evident dat je niet voor alles opslaan kiest.
Alles opslaan kost nog veel meer moeite dan je zou willen: volgens de GDPR hoort mensen ervan op de hoogte te stellen, met de mogelijkheid van keuzes maken, gegevens inzien, corrigeren, exporteren etc. Daarnaast mag je niet alle gegevens opslaan, zoals persoonsgegevens en zeker geen medische gegevens. Hiervoor moet nog veel meer worden geregeld, opslag en toegang tot logging moet aan eisen voldoen. Zie bijvoorbeeld NEN-ISO/IEC 27000:2017+A11:2020.
Het doet pijn wanneer je webapplicatie gehackt wordt, maar alles loggen is als een camera op je auto richten en achteraf naar de politie gaan met beelden van inbraak waar ze niets mee kunnen, de inbreker had een bivakmuts op en eigenlijk had je al nooit de camera op de openbare weg mogen richten.
Je kunt dan beter voorkomen dat het nog eens fout gaat, vanwege alle redenen die al zijn gegeven.
