iDEAL Advanced - Pronamic
iDEAL Advanced - Pronamic
iDEAL Advanced - Pronamic
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>iDEAL</strong> <strong>Advanced</strong> – Integratiehandleiding PHP<br />
2 Veiligheid<br />
Dit hoofdstuk gaat nader in op de veiligheidsaspecten van uw webshop. In de overige<br />
hoofdstukken van deze integratiehandleiding zijn verscheidene praktische veiligheidsaanwijzingen<br />
opgenomen, herkenbaar aan het symbool van een hangslotje ().<br />
Dit document pretendeert overigens geenszins volledig te zijn ten aanzien van de veiligheid van<br />
uw webwinkel. Dat is, gezien de omvang en complexiteit van het onderwerp, onmogelijk. Het doel<br />
van dit hoofdstuk en van de elders opgenomen aanwijzingen is met name om u bewust te maken<br />
van het onderwerp.<br />
In boekvorm en op het internet is in ruime mate documentatie voorhanden over de bedreigingen<br />
waaraan web applicaties bloot (kunnen) staan, en de te nemen preventieve en detectieve<br />
maatregelen om de eigen webshop daarvan te vrijwaren. Wij raden u met klem aan kennis te<br />
nemen van deze documentatie. Het succes van uw webshop is daarvan in hoge mate afhankelijk.<br />
De door ING geleverde software voor <strong>iDEAL</strong> <strong>Advanced</strong> PHP is gebouwd op basis van alle<br />
gangbare security best practices. Onjuiste integratie van deze software in uw webshop, en/of een<br />
onveilige opbouw van overige onderdelen van uw webshop, kunnen desondanks leiden tot een<br />
onveilige webwinkel.<br />
Veiligheid als procesonderdeel<br />
De eerste stap om dit te voorkomen, is het besef dat veiligheid alle stadia van het ontwikkelproces<br />
van uw webshop raakt:<br />
• Analyse & ontwerp: Reeds tijdens het ontwerpen van uw webshop dient u inzicht te verwerven<br />
in de voor uw webshop relevante bedreigingen, en daarop maatregelen te formuleren.<br />
• Development: Sommige code is per definitie onveilig. Veel van de beschikbare security<br />
documentatie bevat expliciete voorbeelden van onveilige code, alsmede de aangeraden<br />
vervanging ervan. Houd hier bij het bouwen van uw webshop rekening mee.<br />
• Testen: Onderkende bedreigingen, en de bijbehorende tegenmaatregelen, dienen uiteraard<br />
ook getest te worden. Hiervoor bestaande vele verschillende technieken en tools, variërend<br />
per ontwikkelplatform.<br />
• Deployment: Zorg er bij het deployen van uw webshop voor dat cruciale bestanden niet voor<br />
onbevoegden toegankelijk zijn. Denk hierbij bijvoorbeeld aan de configuratie van uw<br />
webshop, uw prive-sleutel, en uw database. Besteed hier extra aandacht aan als uw webshop<br />
niet door uzelf wordt gehost.<br />
OWASP<br />
De tweede stap op weg naar een veilige(re) webshop, is kennis te nemen van de eerder<br />
genoemde documentatie over de veiligheidsaspecten van web applicaties. Een goed startpunt<br />
hierbij is de website van het Open Web Application Security Project (OWASP), te vinden op<br />
www.owasp.org. De OWASP-site biedt uitgebreid inzicht in de kwetsbaarheden (vulnerabilities)<br />
van software, en de te nemen maatregelen (countermeasures).<br />
Copyright © ING. Versie 2.3, april 2010 Pag 6 van 26