Det finns redan idag mycket kunskap om hur webbapplikationer kan utvecklas säkrare, men om du som beställare inte efterfrågar säkerhet kommer det inte finnas någon anledning för leverantörerna att införliva den kunskapen i sitt arbete.

Det råder viss debatt om frågan hur man på bästa sätt efterfrågar säkerhet, men en sak tror jag dock att alla kan vara eniga om – beställarna behöver prata med sina leverantörer om säkerhet i utvecklingen.

På HPS har vi vid flera tillfällen fått vara med i den typen av diskussioner, såväl inför en beställning av en applikation som efter det faktum att en kund har köpt in en – som det senare visat sig – osäker applikation. Förbluffande ofta har då det enda leverantören haft att säga varit att ”vi använder SSL”.

Låt mig ge dig en tankeställare: det faktum att en leverantör använder SSL ger i bästa fall skydd mot en av sårbarheterna på OWASPs lista över de tio vanligaste säkerhetsbristerna hos webbapplikationer.

De flesta guider som hjälper företag att utveckla säkert omnämner inte över huvud taget SSL. Och varför skulle de det? Syftet med SSL är att se till att rätt part får den data som skickas, utan att det går att avlyssna eller manipulera den längs vägen.

Data kan fortfarande bestå av ett SQL injection angrepp – det kommer inte SSL gör något åt. Likväl kan den bestå av en begäran om en ”hemlig” sökväg, precis som det kan vara en länkad. För SSL är det ingen skillnad.

Det eftersom SSL enbart arbetar på en lägre nivå där innehållet är ointressant. Lägg därför detta på minnet: SSL gör inte en applikation säker! SSL skyddar bara mot en oerhört liten andel av de angrepp vi ser idag. Så visst är det lite märkligt att det enda leverantörerna pratar om är SSL?

Att införa SSL är trivialt och att lägga på det i efterhand kan göras på under en timme. Ställ detta mot att göra om ett system från grunden för att man har tänkt fel från början. Vilket är viktigast? Är det verkligen av intresse för dig att din leverantör berättar att de gör något som du själv kan göra på några timmar?

Skulle det inte ge dig lite mer trygghet ifall de istället för att prata om SSL, kunde prata om andra, viktigare delar? Exempelvis hur de går till väga för att verifiera att applikationen inte har någon av de betydligt allvarligare och vanligare sårbarheterna?

Att utveckla säkert handlar inte bara om att använda rätt teknik, utan också till stora delar om rätt arbetssätt. Därför bör du som beställare, oavsett om du är insatt i detaljerna, ställa följande fråga din leverantör: ”Hur arbetar ni med säker utveckling?” Börjar han eller hon då prata om SSL, bör du dra öronen åt dig och vara på din vakt!

Carl-Johan Bostorp
IT-säkerhetsspecialist
High Performance Systems AB

Håller du med debattören?
Det är inte längre tillåtet att rösta.