Home > Over DTT > Artikelen

Alles over beveiliging van apps

Alles over beveiliging van apps

Wie veel voorkomende veiligheidsrisico’s in apps kent, zal er vanzelfsprekend tijdens het bouwen rekening mee houden. Onder andere de veiligheid van de volgende elementen kan worden geoptimaliseerd:

  1. Frontend
  2. Backend
  3. Server hosting

Dit zijn wellicht termen die je weinig tot niets zeggen. Gelukkig verklappen de namen al veel. De frontend van een app of website is letterlijk, jawel, de voorkant. Kortom, hetgeen dat je ziet wanneer je een website of app gebruikt. Onder backend valt de meer complexe achterkant. Een concreet voorbeeld hiervan is het databasebestand. Bijvoorbeeld alle gegevens en foto’s die Tinder opslaat zodat jij recente en relevante matches ziet. Back to business. We gaan verder in op de beveiliging van deze drie elementen.

Beveiliging frontend

Uiteraard zijn wij de eerste om te melden dat apps en websites maatwerk zijn. Dat betekent ook dat de beveiliging per project verschilt. Jij bent echter nu al geïnteresseerd, vandaar dat we alvast een aantal tips en tricks hebben verzameld waar we jou in dit stadium al over kunnen informeren:

  1. Gebruikersdata opslaan.
  2. Cache bestanden.
  3. API verbinding.

Gebruikersdata opslaan

We beginnen voor het gemak maar met een heikel punt. Iedereen houdt zich tegenwoordig bezig met de veiligheid van persoonsgegevens. Logisch wel, je wilt liever niet dat jouw gegevens bekend zijn (of worden) bij derden. Ontwikkel oplossingen daarom zo dat gebruikersgegevens niet onnodig of onveilig worden opgeslagen.

Cache bestanden

Wanneer je een website of app bezoekt, worden in principe automatisch kleine deeltjes van jouw bezoek opgeslagen in zogenaamde Cache bestanden. Het is geen must dat de cache bestanden worden opgeslagen. Vandaar dat wij bij DTT soms ook oplossingen ontwikkelen zonder dat deze deeltjes cache opgeslagen worden.  

API verbinding

Nou, we zijn een heel eind. En dat slechts op het gebied van frontend. Een laatste punt dat zowel onder front- als backend valt is de beveiligde API verbinding. Zie een API als een communicatiemiddel tussen computerprogramma’s. Door middel van de API worden er dus informatie en instructies doorgegeven. De vraag rijst: hoe zorgen wij ervoor dat deze informatie niet uitlekt of openbaar beschikbaar is? Well, we know the answer. Daar kunnen onder andere een SSL-verbinding en authenticatietokens bij helpen. Een SSL-verbinding is een gecodeerde verbinding tussen de server en bezoeker. Alles wat jij invoert wordt omgezet in abracadabra taal en is zo niet te lezen voor eventuele piraten die op de loer liggen. Je herkent een website met een SSL aan https in plaats van http. Waarbij de S staat voor Secure. Authenticatietokens kun je vergelijken met jouw e-ticket van een festival of concert. De computer slaat jouw ticketcode op en weet zo dat jij de juiste bezoeker bent. Ben je dit niet? Dan word je keihard bij de entree geweigerd.

Beveilig ook de achterdeur: backend

We gaan even door waar we zojuist geëindigd zijn: de authenticatie tokens. De API communiceert ook aan de achterkant alleen met de daarvoor bedoelde apps via deze tokens. Er zijn twee andere aspecten voor een beveiligde achterkant:

  1. SQL injectie
  2. Hash algoritmes

SQL injectie veilig

Yes! Nog meer lastige termen. We houden het kort, de SQL is de taal waarmee er in- en rondom de database wordt gecommuniceerd. Stel: jij vult je e-mail in om je aan te melden voor een nieuwsbrief. Dat wordt gecommuniceerd naar de nieuwsbrief database in SQL. Je wil echter niet dat er een injectie plaatsvindt, dan wordt er basically gerommeld met de informatie in je database. Bij DTT hebben wij de technische kennis in huis injecties tegen te gaan. Voorkomen is tenslotte beter dan genezen.

Hash algoritmes

Deze algoritmes worden onder andere ingezet voor het pseudonimiseren van wachtwoorden. De wachtwoorden worden vaak versleuteld opgeslagen, zodat deze niet bekend worden als het bestand met wachtwoorden door een onbevoegde wordt gelezen.

Last but not least: server hosting

Je bent bijna up to date wat betreft gangbare beveiligingsmaatregelen. Websites en apps worden gehost (ondergebracht) op een server. Dat is zeg maar een online opslagplaats. Veilige server hostings verdienen een ISO certificaat. Uiteraard bieden wij bij DTT een veilige hosting aan. Vandaar dat wij over maar liefst 5 (!) certificaten bevatten. Om precies te zijn:

  1. ISO 9001
  2. ISO 27001
  3. ISO 14001
  4. NEN 7510
  5. PCI DDS

Zo. We zouden ze eigenlijk ingelijst aan de muur moeten hangen.

Maatwerk

Beveiliging betreft een maatwerkproduct. Niet iedere (app)oplossing vraagt om hetzelfde type beveiliging. We geven een simpel maar duidelijk voorbeeld: neem nu een container met vuilnis, daar zit in de meeste gevallen geen slot op. Wanneer wel? Bijvoorbeeld als het gaat om een container waar versnipperd papier van belangrijke bedrijfsdocumenten in zit. Zo, dat zet je wel even aan het denken hé? Wij gaan graag het gesprek met je aan en adviseren je over veiligheidsrisico's. 

Jij bent weer up to speed als het gaat om beveiliging. Doordat wij op deze - en vele andere - punten letten, kunnen wij garanderen dat zowel jouw gegevens als de gegevens van jouw gebruikers een veilig plekje krijgen. Wil je de mogelijkheden mondeling met ons doornemen? Neem vooral contact op, we staan je graag te woord.

Meer artikelen

Rein van Strien

meer weten?

Neemt u dan gerust contact op via de telefoon of e-mail. Wij staan u graag te woord.