Hoe wij hackers geen kans geven - Wisemen

4 best practices voor unhackable digitale producten

Hoe wij hackers geen kans geven

Tara Van den Eede
Tara Van den Eede
18 Nov 2022 ·3 min
Ezgif com gif maker

Cybercriminaliteit wordt slinkser, frequenter, gevaarlijker. Bedrijven die op een digitale manier data verzamelen horen die gegevens te beschermen alsof hun leven ervan afhangt. Dat begint al bij het bouwen van een waterdicht backendsysteem. Deze vier best practices geven onze klanten de gemoedsrust die ze verdienen.

#TL;DR

Je data beschermen tegen cybercriminelen start met een sluitend backend systeem. Met deze vier best practices minimaliseren we beveiligingsrisico’s:

  • CSRF
  • Encryptie
  • Validatie
  • Rollen en rechten

1. CSRF


Risico: Niets is wat het lijkt

Via CSRF, oftewel cross-site request forgery, kan een hacker een onzichtbare extra ‘laag’ creëren die bovenop je normale website verschijnt. Een invulformulier met een valse ‘Verzend’ knop, bijvoorbeeld, waarmee je ongewild data naar de server van de hacker stuurt.

Onze best practice: voor elke aanmeldsessie op jouw website of platform genereren wij een uniek, tijdelijk CSRF-token waarmee je 100% veilig data kan versturen. Matcht het token niet met de inlogsessie? Geen toegang.

2. Encryptie/hashing

Risico: Wachtwoordje kraken

Online data kan op twee manieren beveiligd worden: encryptie of hashing. Encryptie is het versleutelen van bijvoorbeeld je wachtwoord aan de hand van een een algoritme dat enkel gekend is bij bevoegd personeel. Overgesimplificeerd: ‘Pass123’ wordt zo ‘Hess456’.


Onze best practice: Werken met hashing. Daarbij wordt een unieke code gecreëerd, die geldt als alias voor je wachtwoord. De code wordt in twee delen opgesplitst: één deel op je toestel, één deel op de server. Wil je inloggen? Dan worden beide hash keys gekoppeld om je toegang te verlenen. Een hacker die een hash key kaapt beschikt dus slechts over één deel van de sleutel. Bovendien heeft ie geen idee waar de hash voor staat.

3. Validatie


Risico: Formuliermanipulatie

Elke vorm van dataverzending, bvb bij het aanmaken van een account, hoort gevalideerd te worden vooraleer verstuurd. Een hacker kan je backend systeem ontregelen door foutieve informatie in te geven. Meer nog, door code te ‘injecteren’ kan er vanuit jouw server e-mailspam verstuurd worden of malware geïnstalleerd worden.

Onze best practice: via een custom validatie-protocol controleren en valideren we elke vorm van dataverzending. Niet alleen voorkomen we zo manipulatie, we verzekeren dat jouw invulvelden uitsluitend beantwoord worden met correcte en betrouwbare informatie.

4. Rollen en rechten


Risico: Geen pottenkijkers

Een rollen- en rechtensysteem zorgt ervoor dat content en data afgeschermd of vrijgegeven worden naargelang de rol van de gebruiker. Zo kan je specifieke acties mogelijk maken voor elke functie binnen je organisatie.

Onze best practice: elk digitaal product vereist andere nuances op het vlak van rollen en rechten. Daarom ontwikkelen we voor elk project een custom systeem om ongewenste pottenkijkers toegang te verbieden tot vertrouwelijke gegevens.

De rode draad door alle best practices? Menselijke interventie zo veel mogelijk minimaliseren. Niet alleen verkleinen we zo het risico op fouten en lekken, we beperken ook de nood aan onderhoud. Met gemoedsrust voor klant én eindgebruiker als resultaat.

Een waterdicht digitaal product bouwen? Laat dat gerust aan ons over.

Tara Van den Eede
Tara Van den Eede, Wise woman
Tara tackelt gracieus elke backend uitdaging die haar voor de voeten wordt geworpen. Een queen of code, die floreert als squad lead en PHP/Laravel-expert. Tevens trotse eigenares van drie prachtige paarden.

Talk
to a
wiseman

Learn more?

There is no better way than to date.
We learn more about you. You learn more about us.
No strings attached.
Contacteer ons
Of plan meteen een kennismakingsgesprek in
(Geheel vrijblijvend)
Liever gecontacteerd worden?