Voorkom bedreigingen van de veiligheid bij het verzenden van berichten vanuit OutSystems applicaties

 Door: OutSystems MVP Paul Schmeddes

“Je gebruikers beschermen tegen phishing en malware”

Bij het ontwikkelen van applicaties moeten we ons bewust zijn van veiligheid en ieder risico op het ontstaan van veiligheidsproblemen vermijden. Dat geldt vooral voor het verzenden van berichten aan onze gebruikers. In dit artikel bespreek ik de meest voorkomende bedreigingen en aanbevelingen voor het vermijden daarvan. Let op: dit zijn slechts enkele van de vele veiligheidsmaatregelen die een organisatie moet nemen om zichzelf te beschermen tegen hackers. Overleg met je informatiebeveiliger welke andere maatregelen gelden voor jouw organisatie.

Bedreigingen in berichten

Phishing
Phishing is de frauduleuze poging gevoelige informatie te verkrijgen, zoals gebruikersnamen, wachtwoorden en creditcardgegevens, doordat iemand zich in elektronische communicatie voordoet als betrouwbare entiteit. Dit gebeurt meestal via e-mail spoofing of instant messaging en is er vaak op gericht gebruikers hun persoonlijke gegevens te laten invoeren op nepwebsites die lijken op de echte websites. (Bron: Wikipedia)

Voorkomen van phishing
Om phishing te voorkomen, kun je het gebruik van hyperlinks in je berichten verbieden en je gebruikers melden dat je nooit e-mails verzendt die hyperlinks bevatten. En ook dat ze nooit op hyperlinks in berichten moeten klikken.

Wat wel te doen: in plaats van een link kun je de ontvanger instrueren hoe hij of zij naar je website moet gaan of kun je de gebruiker omleiden naar een specifieke pagina. In flows voor het registreren van gebruikers of het resetten van wachtwoorden kun je ter verificatie van de gebruiker een verificatiecode gebruiken die beperkte tijd geldig is. Hoewel het gebruik van een identiteitsprovider met authenticatie in twee stappen de voorkeur heeft, is dit een goed alternatief wanneer zoiets niet beschikbaar is.

Voorbeeld van een flow voor het resetten van een wachtwoord

Proces voor het resetten van een wachtwoord:

  1. De gebruiker klikt op de link 'Wachtwoord vergeten?' op de aanmeldpagina.
  2. Op de pagina voor 'Wachtwoord vergeten' voert de gebruiker zijn of haar e-mailadres in en klikt op 'Verzenden'.
  3. Wanneer er een gebruiker met het ingevoerde e-mailadres bestaat, wordt een reset-token gegenereerd, naar de gebruiker gezonden en de gebruiker wordt omgeleid naar de pagina voor het resetten van het wachtwoord.
  4. Op die pagina moet de gebruiker zijn of haar e-mailadres, het token en het nieuwe wachtwoord invoeren.
  5. Als de combinatie van e-mailadres en token correct is, wordt het nieuwe wachtwoord opgeslagen en de gebruiker omgeleid naar de aanmeldpagina.

Bijlagen die malware bevatten
E-mails bevatten vaak gevaarlijke bijlagen die keyloggers, ransomware en andere malware installeren zodra ze door het slachtoffer worden geopend. Als jouw berichten bijlagen hebben, zijn je gebruikers kwetsbaar voor malware-aanvallen. Diverse overheidsorganisaties zijn onlangs nog tijdelijk gesloten geweest en zijn veel gegevens kwijtgeraakt als gevolg van infecties met ransomware.

Voorkomen van malware
Als we geen bijlagen meesturen met onze berichten, kunnen we onze gebruikers instrueren geen bijlagen te openen in berichten die afkomstig zijn van ons. Als alternatief kunnen we ervoor kiezen helemaal geen bijlagen te gebruiken. Een orderbevestiging kun je bijvoorbeeld opnemen in de hoofdtekst van het bericht, of anders kun je bijlagen als downloads in je applicatie opnemen. Dat kun je het beste doen door een persoonlijke pagina met beschikbare downloads te creëren.

Je veiligheidsbeleid communiceren
Meld aan je gebruikers dat je in je communicatie nooit een hyperlink of bijlage zult gebruiken en dat ze nooit op links moeten klikken en nooit bijlagen moeten openen. Vertel ze ook altijd dat ze naar je website moeten navigeren door het adres handmatig in de adresbalk te typen, in plaats van een favoriet of link te gebruiken.

Best practices voor veiligheid van OutSystems volgen
Naast de bovenstaande omschreven maatregelen zou je voor veiligheid ook onderstaande  OutSystems Platform Best Practices voor veiligheid in acht moeten nemen:

  • Stel de Rollen van het WebScreen in.
  • Let goed op bij het uitwisselen van gevoelige gegevens.
  • VERZEND GEEN sensitieve gegevens in schermparameters.
  • Denk eraan dat variabelen van WebScreens of uitvoeren van Preparations zichtbaar kunnen worden in de URL of Viewstate.
  • Gebruik waar dat kan SSL voor gevoelige gegevens.
  • VERTROUW NIET op de WebScreen widgets interface om rechten te beheren.
  • Valideer de Rol van een gebruiker alvorens Screen Actions uit te voeren.
  • Gebruik versleutelde wachtwoorden in de database.
  • Gebruik ‘Internal Access Only’ voor Web Flows en Web Services.

Volg de Master Class on Security voor een uitgebreide uitleg van deze praktijken.

Meer weten over Synobsys?

Ook interessant?

Blockchain implementatie met low-code platformen

Blockchain technologie krijgt – na de financiële wereld – de komende jaren veel invloed op onze manier van leven en werken. Steeds meer nieuwe blockchain toepassingen worden al zichtbaar. Vooral de organisatorische implementatie is nog een uitdaging. 

Meer lezen

Gemiste kans moderniseren bedrijfsprocessen door dagelijkse IT

Door de hoge druk op onderhoud van bestaande systemen komen veel IT-afdelingen nauwelijks toe aan strategisch belangrijker taken, zoals innovatie en creatieve projecten voor het moderniseren van bedrijfsprocessen.Dat blijkt uit recent Amerikaans onderzoek, dat ook voor Nederlandse IT-afdelingen heel herkenbaar is. Dagelijks terugkerende taken lijken steeds zwaarder te wegen en gaan ten koste van het strategisch innoveren van IT-processen voor de langere termijn. Maar uiteindelijk heeft dát meer rendement voor de business. Hoe komt een IT-afdeling uit deze spagaat?

Meer lezen
Benieuwd hoe Synobsys uw digitale transformatie vaart geeft?

Aanmelden nieuwsbrief