Хорошие идеи зачастую приходят в голову людям, совершенно не знакомым с высокими технологиями. Их изобретения могут изменить быт людей к лучшему, если попадут в правильные руки. Если же нет… тут в игру вступают дельцы теневой стороны рынка. Итак, сегодня мы поговорим о том, как не надо делать гаджеты, игры и программы.
23:16
Данный вопрос можно условно разделить на следующие этапы:
- гениальная идея
- кража чужих наработок
- очумелые ручки – сделай всё сам
- тесты? Кому нужны тесты!
- абсолютное доверие – абсолютное оружие
- безопасность – это миф
И, как ни странно, начнём мы рассмотрение этих пунктов в обратном порядке, или, выражаясь иначе, от наименее распространённых к наиболее часто встречающимся ошибкам. Потому что до последних этапов на практике доходят лишь единицы. Итак…
Безопасность – это миф
Допустим, вы прошли долгий путь и готовы выпустить на рынок свой продукт, не важно, будь то гаджет или компьютерная игра. На этом моменте вы уже, скорее всего, будете многократно проверять любую мелочь, которая может встать на вашем пути, но есть аспекты, которые сложно сходу продумать и проконтролировать, не имея при этом своего рода криминального склада ума.
Речь идёт о краже информации пользователей при помощи вашего продукта. Причём работать это может по-разному. Преступники могут создать копии-клоны вашей новинки для введения в заблуждение наивных людей, взломать код программы и использовать её для распространения вируса, или же просто украсть личные данные, вводимые в систему при регистрации. В целом, всему противодействовать, конечно, невозможно, но есть несколько простых правил, которые могут помочь как вам, так и вашим потенциальным клиентам.
Правило первое – шифрование. Все данные, которые поступают вам или от вас и могут быть использованы для получения удалённого доступа к аккаунту, должны пересылаться в зашифрованном виде. По возможности стоит использовать двухфакторную аутентификацию для верификации введения данных и запросов. Тогда система будет уверена в том, что действия производятся владельцем аккаунта (или девайса).
Правило второе – обеспечение максимальной доступности информации. Вы должны разместить официальную информацию о себе во всех возможных авторитетных источниках, будь то Википедия или AppStore, официальный сайт или 4pda. Чем больше источников будут содержать информацию о вас, тем меньше вероятность того, что мошенники смогут обмануть покупателей, замаскировавшись под вас. С девайсами это работает хуже – необходимо добавлять в конструкцию сложные или дорогие для массовой подделки элементы. Но это может оказаться ещё более финансово невыгодным, чем потеря процента клиентов.
Правило третье – обратная связь. Если что-то всё же случилось, то пользователь должен иметь возможность связаться с вами как с производителем и запросить поддержки. Не забывайте, что преступник также может замаскироваться под неудачливого клиента, так что для соблюдения мер безопасности вам придётся вести статистику действий аккаунта и завести службу поддержки, которая сможет эту информацию проверять. Примером такой работы может служить система поддержки RIOT Games. В случае кражи аккаунта вас попросят доказать своё право собственности поединком путём заполнения анкеты о привязанной почте, нике, первых и последних действиях, покупках, дате заведения аккаунта и друзьях, которые находятся в вашем списке контактов. Вспомнить эту информацию с трудом может только владелец. Лишь после этого вы сможете восстановить свой аккаунт и сменить пароль.
Если же вы всё же решитесь проигнорировать все сомнения, проблемы и подводные камни и выпустите своё устройство в том виде, в котором оно есть, не удивляйтесь, если получится так же, как с «умными» чётками Ватикана. Удобный, в сущности, девайс работает как фитнес-трекер, отслеживающий время и частоту молитв, а также предоставляющий доступ к религиозным текстам и видео. Вот только оказалось, что разработчики не озаботились шифрованием при аутентификации пользователей, что предоставляет мошенникам простой доступ к их личным данным.
Ватикану повезло, что данную уязвимость заметил профессионал, который не поленился связаться и сообщить о проблеме разработчикам, после чего она была исправлена. Но сколько найдётся менее честных людей, которые успеют воспользоваться подобной ситуацией в собственных интересах?
В следующий раз мы уделим внимание более распространённым ошибкам при разработке. До встречи!
Дмитрий Потапкин, специально для Обзор. press.
