Det händer nyheter inom webbsäkerhet hela tiden, men vad bör vi hålla lite extra koll på under 2020? Som hjälp har jag listat viktiga aspekter att fokusera på:
1. Stöd Support SameSite-cookies
Förra året gick Google Chrome ut med att de kommer att ändra standardbeteendet för hur cookies hanteras i deras webbläsare. Målet är att förbättra grundsäkerheten på nätet och att förhindra CSRF-attacker (eng: Cross Site Request Forgery). Ett område som kan påverkas är när du skickar cookies mellan olika domäner, som till exempel när du autentiserar med hjälp av OAuth/OpenID-Connect.
De övriga webbläsarna kommer så småningom att införa samma ändringar.
Åtgärder
Sätt dig in i ändringarna!
Börja testa dina applikationer redan idag!
Resurser
2. Använd inte certifikat som gäller längre än 1 år
Apple.com gick nyligen ut med att de inte längre kommer att lita på certifikat som är äldre än ett år (398 dagar, för att vara exakt). Det innebär att vi inte längre kan använda de certifikat på 2-3 år som vi är vana vid.
För att citera den nya policyn:
"Utfärdade certifikat SKA INTE ha en giltighetsperiod som är längre än 397 dagar, och FÅR INTE ha en giltighetsperiod som är längre än 398 dagar. Återanvändning av valideringsuppgifter är begränsad till 398 dagar." (källa)
Åtgärder
Kontrollera dina certifikat och deras livslängd.
Det kan vara en bra idé att överväga automatisering av generering och användning av dina certifikat med hjälp av Let’s Encrypt.
Resurser
3. Börja använda en kraftfull tvåfaktorsautentisering
Idag bör alla använda tvåfaktorsautentisering (2FA)! Men det gör du väl redan? Att inte använda det är en väldigt dålig idé, då du öppnar upp för brute force-attacker som till exempel password spraying:
Under en password spraying-attack använder sig hackers av ofta använda lösenord, som t.ex. "lösenord123", och provar det mot alla användarna i ett givet system.
För att skydda oss själva måste vi använda flerfaktorsautentisering. Ett vanligt sätt att göra det är att skicka ut koder via SMS. Men SMS är inte så säkert som många kanske tror. Det är faktiskt väldigt enkelt att komma åt ditt telefonnummer, vilket många tyvärr har fått erfara:
I stället bör man använda de olika autentiseringsapparna som finns till mobiler, eller – ännu hellre – använda hårvarunycklar som till exempel Yubikeys.
Åtgärder
Se till att aktivera 2FA på alla dina viktiga konton
Sluta använda SMS som en andra autentisering där det är möjligt. Klaga om din leverantör endast stödjer SMS. Fundera på om du ska välja en annan leverantör.
Börja använda autentiseringsappar eller hårdvarunycklar; här finns en bra vägledning.
I t.ex. GitHub är det möjligt att kräva att alla användare i din organisation måste använda 2FA för att få åtkomst till din organisations filer.
4. Utbildning!
Sanningen är att det pågår ett konstant krig på Internet idag, där robotar, hackers och myndigheter hela tiden försöker ta sig in i olika system. Det är ett faktum!
Det innebär att det bör vara olagligt att tillåta oerfarna utvecklare att skapa och lansera system på Internet, på samma sätt som att det är olagligt att köra bil utan utbildning och körkort. Detsamma gäller oss utvecklare, det är inte ok att utveckla mjukvara för nätet och mobiler utan att förstå grundläggande webbsäkerhet!
Att förstå OWASP TOP-10 är såklart en bra början, men det är inte tillräckligt! Skydd av dina system är ett oändligt arbete, då nya säkerhetshot hela tiden dyker upp!
Åtgärder
Se att alla dina utvecklare är utbildade inom grundläggande webbsäkerhet!
Även övrig IT-personal bör utbildas i hur man hanterar social engineering, e-postbilagor och andra hot mot organisationen.
Integrera säkerheten i utvecklingsprocessen. En bra utgångspunkt är Microsoft och deras Microsoft Security Development Lifecycle (SDL)
Är du intresserad av att lära dig mer?
Kolla vår utbildning inom Webbsäkerhet för utvecklare.
Av Tore Nestenius