Kan du kode en webshop sikkert? Her er fire farlige begynderfejl
Det kræver ikke meget af udviklerne at forbedre sikkerheden i danske webshops. Som regel er det begynderfejl, der nemt kan undgås, som giver sikkerhedsproblemer.
Sådan lyder det fra webudvikler Mads Kierulff fra firmaet Kraftvaerk, efter at Version2 mandag skrev om, hvordan halvdelen af de danske netbutikker har alvorlige sikkerhedshuller.
»Hvis man ikke er så erfaren som webudvikler og mest koncentrerer sig om at få det til at virke, kan man godt glemme at kode sikkert. Men det kræver ikke mange kræfter eller tid, hvis man bare tænker over det,« siger Mads Kierulff.
Han peger på fire typiske begynderfejl, der kan have store konsekvenser for sikkerheden:
- Mulighed for SQL-injection, fordi forespørgslerne ikke bliver renset for farlige input.
»SQL-injection-huller er den fejl, man oftest ser, men det er samtidigt den farligste. Hvis man ved, hvad man gør som hacker, kan man få fuld adgang og aflure hele databasen,« forklarer han.
Kuren mod SQL-injections er nok velkendt hos mange udviklere, men bliver altså stadig glemt på mange professionelle websider: En kontrol af alle forespørgsler til databasen, så uvelkomne tegn kan blive sorteret fra.
»Problemet med SQL-injections har man mest på webshops og andre steder, hvor man skal logge ind. Så kan en hacker nemlig få adgang til brugernes passwords, og hvis det er virkelig dårligt lavet, deres kreditkort-oplysninger,« siger webkonsulenten.
- Manglende HTTPS på betalingssiderne. Når betalingskortet skal frem, skal kommunikationen selvfølgelig været sikret med HTTPS, som gør det svært for andre at kigge med.
»I dag køber de fleste en løsning udefra, fordi sikkerhedskravene fra DIBS og andre betalingsudbydere bliver højere. Men hvis man selv flikker en løsning sammen til betalingsflowet, skal man huske at sikre det med HTTPS,« siger Mads Kierulff.
- Minus-varer i indkøbskurven. I mange webbutikker kan man justere antallet af en vare med plus- og minus-knapper. Men hvis antallet af varer kan blive negativt, med flittig brug af minus-knappen, kan kunden give sig selv rabat.
»Køber man ti save og minus fem hamre, kan beløbet, man skal betale blive meget lavt. Det er en klassisk begynderfejl ikke at sikre, at tallet skal være positivt,« siger Mads Kierulff, som dog vurderer, at alle de store webbutikker nu har fået stoppet det trick.
- Javascript i kommentarfeltet. Hvis ikke kommentarfelter og diskussionsfora spærrer for Javascript, kan en hacker overtage andre kunders login.
»Kan hackeren lægge et stykke Javascript ind i for eksempel en kommentar, som andre brugere så læser, vil koden blive eksekveret, så hackeren kan overtage andres sessioner og så logge på den bruger,« forklarer Mads Kierulff.
Køber man en færdig løsning til at håndtere et forum eller kommentarer, vil Javascript være forbudt, men hvis folk selv får kodet en løsning, kan det gå galt, vurderer han.
Rådene til udviklere bliver fulgt op med generelle tips til alle webshop-kunder:
Brug ikke samme password på mange forskellige websider, og pas på webshops, der gemmer dine kreditkort-oplysninger.
»Det er ikke tilladt i Danmark at gemme kreditkort-data, men i udenlandske webshops kan det ske, uden at du får noget at vide. Så kan du handle næste gang uden at indtaste det hele igen, men dataene kan også blive stjålet af hackere,« siger udvikleren.
Store, anerkendte firmaer som Amazon tør han dog godt selv overlade sine betalingsoplysninger til.
Artiklen er en del af Version2's tema om it-sikkerhed, der kører i uge 7 og 8.
