Code Review

Ik moest naar de code van een mede student kijken en aangeven wat goed gaat en wat nog beter kan. Ik heb de code van Nina bekeken. Na het bekijken heb ik een issue ingeschoten in haar repository met feedback.

Ik heb zelf ook feedback ontvangen van Veerle. Zij heeft het volgende gezegd.

• "Maar de individuele repo van Merlijn is daarbij wel duidelijk gedocumenteerd. Wel zie ik hierin wat engels / nederlands door elkaar heen (bijvoorbeeld readme 'description' kan gewoon als 'omschrijving' geschreven worden als verder alles in het nederlands blijft)."
• "Bij Merlijn ziet de code er netjes uit, alleen dus punt 2 even controleren met code standaarden en code stijl bij iedereen in het team." Dus dat zijn nog dingen om aan te passen

Gast College Security

We hadden een kort gast college van Ivo Nijhuis, een docent van HBO ICT, over Security en hoe we de beveiliging kunnen verbeteren van onze dating app. Hij heeft ons een aantal manieren laten zien van hoe makkelijk het is om de beveiliging van websites te omzeilen is.

Wireshark

Met het gratis programma wireshark kun je het internet verkeer aftappen. Nou is dat niet heel spannend als je niet filtert op het soort verkeer. Ivo liet zien dat, als je alleen op HTTP requests filtert, je formulieren kunt uitlezen en zo wachtwoorden kunt achter halen als deze niet gehasht of incripted zijn.

Query injection

Ivo liet ook zien dat je in een invoerveld van een formulier SQL queries kunt typen waardoor je bijvoorbeeld kunt inloggen in een systeem zonder dat je daar voor over inlog gegevens beschikt. Je houdt de database als het ware voor de gek door een query te schrijven die de database doet geloven dat je wel het juiste hebt ingevult.

HTML manipulatie

Als laatste liet hij zien dat door gewone http url's te gebruiken (i.p.v https) je de html op een pagina kunt veranderen. Zo kun je extra data toevoegen aan een pagina en iets anders in een tekst laten staan dan dat het er eigenlijk staat.

Hier zijn ook nog vier tips van Ivo om de beveiliging van een applicatie te verbeteren.

• Versleutel communicatie en gegevens
• Controleer alle variabelen die buiten je programma komen
• Verwijder info voor developers in de productie omgeving
• Verwerk en bewaar geen gegevens die je niet nodig hebt Wireshark om http requests af te vangen