كيفية إنشاء برامج آمنة على كل من الأجهزة المحمولة وسطح المكتب

نشرت: 2019-03-06

في العالم الحديث ، تجتذب المخاوف الأمنية مزيدًا من الاهتمام أكثر من أي وقت مضى. بدأ العديد من المتسللين والمحتالين في الازدهار مع ظهور العملات المشفرة التي تبلغ قيمتها مئات وآلاف الدولارات لكل عملة. البيانات الحساسة للمشاهير أو أوراق الاعتماد المصرفية أو المعلومات حول تحويل الأموال أو التقنيات الجديدة - يستفيد المحتالون عبر الإنترنت من كل شيء لأن الناس يميلون إلى تجاهل تدابير الحماية الرئيسية.

ومع ذلك ، تنتن السمكة من رأسها إلى أسفل. بدون ميزات الأمان المناسبة التي صممها مطورو البرامج ، من المستحيل حماية بياناتك من جانب العميل. بالنظر إلى حقيقة أن الأجهزة المحمولة تكتسب المزيد من الشعبية بسبب الوظائف المتزايدة باستمرار بينما تظل منصات سطح المكتب / الويب أعلى تصنيفًا ، نريد اكتشاف كيف يمكن للمؤلفين جعل منتجاتهم متوافقة وآمنة. ستجد نصائح للمستخدمين في القسم الأخير.

الأمن باختصار

في البداية ، دعنا نميز بين أمان التطبيقات وبرامج الأمان. قد تبدو هذه المصطلحات مترادفة ولكنها مرتبطة بجوانب مختلفة حيث يشير التعريف الأول إلى السلامة العامة للمنتج الصادر ويغطي الثاني مراحل ما بعد النشر وما قبل النشر.

في الأساس ، تعد تطبيقات البرامج أدوات بسيطة تساعد المستخدمين على التفاعل مع البيانات ، إما عبر أدوات الأجهزة المحمولة أو منصات سطح المكتب. لنفترض ، إذا كنت تريد التحقق من سجل صحي أو الحصول على معلومات حول معاملاتك الأخيرة ، فمن الأنسب استخدام هاتف ذكي أو موقع ويب خاص بالمستشفى / البنك بدلاً من الاتصال أو زيارة هذه الأماكن.

تكمن المشكلة في أن البرنامج لا يتعرف على أنواع البيانات المصنفة حسب حساسيتها. بدون الفئات وعمليات الوصول المبرمجة يدويًا ، لا يمكن للتطبيقات تمييز اسمك عن أرقام CVV / CVC لبطاقتك الائتمانية. وبالتالي ، من المهم البدء في بناء نظام أمان مناسب من مراحل التطوير الأولى. فيما يلي بعض النصائح حول هذه العملية:

  • نفذ الترميز الآمن.
  • تصنيف البيانات وتعيين متطلبات الترخيص.
  • حدد البق وتخلص منها.
  • تقييم الأمن في كل مرحلة من مراحل التطوير.
  • تحقق من موثوقية عناصر الطرف الثالث.
  • توعية المطورين حول تقنيات الاحتيال.
  • طلب 2FA من الموظفين.
  • قم بترقية البرنامج بانتظام بعد صدوره.

مشكلات الأمان المعروفة

يكاد يكون من الممكن إنشاء تطبيق محمي قوي دون فهم مدى تعرض الأنظمة الأساسية للجوال وسطح المكتب للخطر بالنسبة للمتسللين. ببساطة ، هناك بعض الأساليب التقليدية لاقتحام الأجهزة ذات البنية المختلفة ، لذلك نقترح التحقق منها الآن. يجب أن تساعد هذه النقاط أثناء مرحلة التصميم عندما تخطط لأفضل تدابير الأمان لكل من منتجات الأجهزة المحمولة وأجهزة سطح المكتب.

الهواتف الذكية والأجهزة اللوحية

يتميز أسلوب الحياة أثناء التنقل بوجود أجهزة محمولة إلزامية. وبالتالي ، يقوم الكثير من الأشخاص الآن بنقل بياناتهم الأساسية من أجهزة الكمبيوتر إلى الهواتف الذكية أو على الأقل مزامنة المعلومات بين نظامين أساسيين. نتيجة لذلك ، نحصل على نقطة أخرى حيث يمكن للمحتالين الوصول إلى البيانات القيمة. من الناحية الفنية ، هناك ثلاثة جوانب ضعيفة:

  • أجهزة الجهاز.
  • البرمجيات نفسها.
  • الشبكات العامة.

على سبيل المثال ، يمكن للصوص أن يسرقوا هاتفك بسهولة وسط حشد من الناس ، ويقومون بعمل روت له ، والوصول إلى كل شيء داخل النظام. يمكن أيضًا تزوير الأجهزة إذا اشتريت أدوات من موزعين غير رسميين. بصرف النظر عن نقطة الضعف هذه ، من المعروف أن المتسللين يقتحمون الهواتف الذكية والأجهزة اللوحية عبر شبكات Wi-Fi العامة غير المحمية. أخيرًا ، لا يستحق تثبيت برامج ضارة من خلال لعبة عادية أو تطبيق وسائط إذا تم تنزيلها من متجر غير رسمي.

الويب وسطح المكتب

تعمل كل من المستعرضات والبرامج التي تم تنزيلها عادةً بشكل مشابه إذا كانت تتطلب اتصالاً بالإنترنت. هنا ، يعمل التطبيق كجانب العميل الذي يرسل الطلبات ويحصل على النتائج بينما توجد قاعدة البيانات الرئيسية (والواجهات إذا كنت تستخدم متصفحًا للتنقل عبر مواقع الويب) على الخادم المتصل. ومن ثم تنقسم التحديات الأمنية إلى ثلاثة أجزاء:

  • من جانب العميل.
  • جانب الخادم.
  • عملية تبادل البيانات.

تتعلق المشكلة الأكثر خطورة بالبرامج القديمة حيث يمكن للمحتالين عبر الإنترنت اقتحام الواجهات القديمة التي لم تعد محمية بواسطة الأنظمة المحدثة. بالإضافة إلى ذلك ، فإن التخزين المؤقت للصفحة وخدمات التشفير السيئة والعناوين / المعلومات الحساسة التي تعرضها ملفات تعريف الارتباط هي روابط ضعيفة محتملة يمكن أن يستخدمها المتسللون.

تطوير البرمجيات الآمنة

الآن ، السؤال هو: كيف يمكن إنشاء نظام موثوق به لكلتا المنصتين إذا كانا يتسمان بنقاط ضعف مختلفة؟ بشكل عام ، هناك ثلاث طرق. يمكنك اختيار الأنسب ولكن تأكد من مراعاة إيجابيات وسلبيات كل مثال.

موبايل وسطح المكتب

في هذه الحالة ، يجب على المطورين إنشاء منتجين (للأنظمة الأساسية للجوّال وللمتصفحات / أجهزة سطح المكتب) بشكل منفصل عن بعضهما البعض. التطبيقات ليست مترابطة أو متزامنة ، لذا كن مستعدًا لتحمل نفقات عالية من حيث المال وفي الوقت المناسب لأن فريقك سيضطر إلى استثمار ضعف الموارد الإضافية. ونتيجة لذلك ، سيتم إطلاق تطبيقين منفصلين ، لكل منهما حماية خاصة مصممة للأنظمة الأساسية المستهدفة على وجه التحديد.

موبايل مع سطح المكتب

يوفر هذا الخيار إمكانية تشغيل موقع ويب شديد التكيف ، لذلك سيعرض جميع العناصر بشكل صحيح لمستخدمي الويب والجوّال. نتيجة لذلك ، تحصل على نظام أساسي واحد به نقطة ضعف واحدة فقط بناءً على ثغرات الويب الموضحة أعلاه. ومع ذلك ، سيكون المنتج النهائي أقل فاعلية من منصات الأجهزة المحمولة الأصلية ، وسيتم تحميل المحتوى بشكل أبطأ ، وستكون الميزات العامة محدودة.

سطح المكتب المحمول PLUS

بدلاً من إنشاء مشاريع منفصلة أو تصميم موقع ويب متوافق مع الأجهزة المحمولة ، هناك الخيار الأكثر كفاءة وأمانًا. تستخدم فرق مختلفة بما في ذلك مطورو Diceus.com هذا النهج. يلزم إنشاء نظام أساسي واحد للجهة الخلفية ولكن مع تثبيت نظامين مختلفين للواجهة الأمامية فوقه.

على سبيل المثال ، يمكن تحقيق البرامج الأساسية باستخدام واجهة برمجة تطبيقات RESTful التي تدعم بنية قابلة للتطوير لكل من الهواتف المحمولة وأجهزة سطح المكتب. علاوة على ذلك ، يعد React.js اختيارًا جيدًا للواجهة الأمامية للويب بينما تناسب أطر عمل Xamarin أو Cordova احتياجات مطوري الأنظمة الأساسية المتنقلة.

بالانتقال إلى الإجراءات الأمنية ، هناك بعض الطرق التي أثبتت جدواها في نهج سطح المكتب للجوال:

  • توفير التشفير من الدرجة الأولى. بالنسبة لإصدارات الويب ، من الضروري أن يكون لديك تقنية تشفير فعلية تمنع الاختراق.
  • تشمل عمليات الكشف. ستكون قادرًا على اكتشاف البرامج الضارة في أي وقت إذا كان للأنظمة الأمامية اتصال قوي بالمنصة الخلفية.
  • قم بتضمين الحماية الذاتية. يمكن للتطبيقات الاستفادة من ميزات وقت التشغيل مثل التخلي عن الجلسات غير النشطة أو إخطارات الفشل.
  • اختبر البرنامج بانتظام. استخدم SAST لاختبار الكود ، و DAST للتطبيقات والبنى التحتية ، و IAST لفحص البيانات.
  • تحديث ودعم المنتجات. بينما يخترع المحتالون هجمات جديدة ، من الأفضل الرد بسرعة بإجراءات دفاعية جديدة.

يعتبر نموذج التطوير الموصوف هو الأكثر توازناً من حيث الموارد والميزات والسلامة. يجب عليك إنشاء ثلاث نقاط وحمايتها (نقطة خلفية ونهايتان) بدلاً من أربعة عناصر لمنتجات منفصلة ولكنك تحصل على نفس الوظيفة تقريبًا.

حماية يحركها المستخدم

في نهاية اليوم ، لا تنسَ الأمان من جانب العميل. يمكن للمطورين إنشاء أفضل نظام ممكن ولكن إهمال المستخدمين يدمر كل شيء. عند استخدام برنامج معين بغض النظر عن نوعه ، تذكر بشأن نظافة الإنترنت: لا تثق في رسائل البريد الإلكتروني المشبوهة ، وتحقق جيدًا من شهادات تشفير مواقع الويب ، واستخدم برامج مكافحة الفيروسات وما إلى ذلك. قم دائمًا بتمكين 2FA للحصول على رموز تحقق إضافية عبر الرسائل القصيرة أو تطبيقات المصادقة. استخدم أدوات تحديد المقاييس الحيوية مثل بصمات الأصابع أو اكتشاف الوجه للهواتف الذكية والأجهزة اللوحية.

بشكل عام ، ليس من الصعب حماية البيانات عندما يعرف كل من المطورين والمستخدمين كيفية القيام بذلك. سيفقد المتسللون وظائفهم إذا اتبعنا جميعًا قواعد الأمان بدقة.

هل لديك أي أفكار حول هذا؟ أخبرنا أدناه في التعليقات أو انقل المناقشة إلى Twitter أو Facebook.

توصيات المحررين:

  • مقابلة مع Stu Grubbs ، الرئيس التنفيذي لشركة برامج البث Lightstream
  • 10 مطوري برمجيات يجب عليك متابعتهم في 2019
  • 5 من أشهر مزودي برامج الألعاب
  • إليك أكبر وأنجح موفري برامج iGaming
  • هل يمكن لبرنامج مكافحة الفيروسات أن يبطئ سرعة الإنترنت لديك؟