HTML5 - Vieläkö perinteinen webtestaus riittää? Antti Pirinen 15.1.2015
Esittäjä Antti Pirinen Antti Pirinen Valmistunut TKK:lta 2006, pääaineena tietoliikenneohjelmistot, sivuaineena yritysturvallisuus. Lopputyön aiheena Intrusion Detection in Grid Työkokemus: 2012 -> KPMG:n tietoturvavastaava 2010 -> KPMG, tietoturva-asiantuntija 2002 2010: Helsinki Institute of Physics, tutkija, projektipäällikkö 2005 2006: Helsinki Institute of Physics / CERN, tutkija Tietoturva-alalla vuodesta 1999 Tietoturva ry:n puheenjohtaja 2014 -> 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 1
KPMG lyhyesti KPMG on maailmanlaajuinen asiantuntijapalveluita tarjoavien jäsenyritysten verkosto. Tehtävämme on siirtää osaamisemme arvoksi ja hyödyksi asiakkaillemme, henkilöstöllemme ja ympäröivälle yhteiskunnalle. Globaalisti Liikevaihto USD 24,8 mrd (2014) Toimipisteet 155 maassa Asiantuntijoita 162 000 Suomessa Liikevaihto 98,7 milj. euroa (2014) Toimipisteet 21 paikkakunnalla Asiantuntijoita n. 800
Tietoturva ry lyhyesti Tietoturva ry on tietoturva-ammattilaisten voittoa tavoittelematon, itsenäinen ja vapaaehtoisvoimin toimiva yhdistys, joka edistää tietoturvallisuutta ja hyvien tietoturvatapojen noudattamista tietoturvallisuuden kaikilla osa-alueilla Toimii yhteistoiminnan edistäjänä tietoturva-alalla Suomen suurin tietoturva-alan yhdistys n. 800 henkilöjäsentä n. 40 yhteisö-/yritysjäsentä TIVIAn teemayhdistys 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 3
Varoitus! Tämä esitys ei ole tekninen esitys, eikä tarkoitukseni ole käydä läpi HTML5 sovellusten haavoittuvuustestauksen hienouksia. Esityksen tarkoitus on pohtia asiaa C-tason näkökulmasta. 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 4
Lähtökohdat Maailma muuttuu, IT:n tulee muuttua mukana 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 5
Arkkitehtuuri 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 6
Mitä ei voi tehdä selaimella, sitä ei tarvita! 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 7
Käyttäjien päätelaitteet ovat murroksessa Entistä enemmän omia laitteita ja kuluttaja laitteita Kuvat: http://pixshark.com/desktop-pc-image.htm 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 8
Käyttäjien päätelaitteet ovat murroksessa Entistä enemmän omia laitteita ja kuluttaja laitteita Kuvat: Apple, Google, Lenovo, Samsung, Sony 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 9
Sovelluskehitys on murroksessa Modernit ohjelmointikielet korvanneet perinteiset käännettävät kielet Enenemässä määrin luotetaan olemassa oleviin kirjastoihin ja framework:eihin Sovellusten tulee toimia 24/7 turvattomassa ympäristössä Web-selaimesta tullut merkittävä sovellusalusta! 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 10
Miten HTML5 on muuttanut riskikenttää? Web-sovellukset tulkittava normaaliksi sovelluksiksi! Sovellukset pystyvät kommunikoimaan eri palvelujen välillä Sovellukset pystyvät tallentamaan tietoa selaimeen Sovellukset pystyvät toimimaan taustalla Sovellukset pystyt toimimaan ilman verkkoyhteyttä Uhan kohteena on käyttäjän sovellus, ei välttämättä web-palvelu! 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 11
Miten HTML5 on muuttanut riskikenttää? 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 12
Miten HTML5 on muuttanut riskikenttää? 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 13
Miten HTML5 on muuttanut riskikenttää? 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 14
Miten HTML5 on muuttanut riskikenttää? 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 15
Johtopäätökset (1/2) HTML5 mahdollistaa paljon! Muista, että pelkkä palvelinpään tietoturvallisuuden varmistaminen ei enää riitä Selain voidaan tulkita virtualisointialustaksi : Älä oleta, että selain olisi haavoittumaton tai virheetön Älä oleta, että hyökkäyksen kohde olisi aina käyttöjärjestelmä Älä oleta, että selain ei tallentaisi tietoa Älä oleta, että kaikki sivut ovat ystävällisiä! 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 16
Johtopäätökset (2/2) Suunnittele sovellukset siten, että ne ovat aina internetin kestäviä HTML5 sovellukset tulee kehittää hallitun sovelluskehitysprosessin kautta Systemaattinen testaaminen ja tietoturvatestaaminen kehityksen aikana Systemaattinen jälkihoito päivityksineen tuotantoon viennin jälkeen 2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 17
Thank you Antti Pirinen
2015 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International.