Tato práce je zaměřena na návrh zabezpečení provozu aplikace pro online devizové platby. Pro realizaci plateb se na straně klienta využívá jak přístup přes standardní webový prohlížeč, tak i mobilní aplikace. Cílem je navrhnout taková opatření, aby byla zajištěna odolnost systému proti možným bezpečnostním hrozbám a vyhověla požadavkům kladeným legislativou i doporučením regulátora. V práci jsou probrána jednotlivá bezpečnostní rizika a možnosti jejich řešení. Další oblastí je pak zajištění kontinuity provozu systému, který může být ohrožen buď nedostatečnou kapacitou, nebo výpadky systému. Následně jsou navržena řešení infrastruktury systému tak, aby toto riziko bylo minimalizováno a současně aby toto řešení umožnilo poskytovali služby kontinuálně navyšovat výkon systému. Na závěr je předvedena ukázková aplikace, na které jsou demonstrovány výsledky.
Anotace v angličtině
The thesis deals with an online foreign exchange payment application design and its crucial attribute - secure operation. Clients use standard Web browser, and mobile applications for making payments. The aim is to propose measures to ensure the system's robustness against possible security threats and satisfy the legislative and regulatory requirements and recommendations. Various security risks and respective solutions are discussed. Furthermore, threats to business continuity - such as lack of capacity and system failures - are addressed. The infrastructure for minimizing risks and optimizing system performance through scalability is proposed. To conclude, the draft for payment transaction security with two factored authentications demonstrates the chosen solution.
web application security, online payments, webservices, auto-scaling, high availability, mul-ti-factored authentication
Rozsah průvodní práce
81 s. (97 000 znak;)
Jazyk
CZ
Anotace
Tato práce je zaměřena na návrh zabezpečení provozu aplikace pro online devizové platby. Pro realizaci plateb se na straně klienta využívá jak přístup přes standardní webový prohlížeč, tak i mobilní aplikace. Cílem je navrhnout taková opatření, aby byla zajištěna odolnost systému proti možným bezpečnostním hrozbám a vyhověla požadavkům kladeným legislativou i doporučením regulátora. V práci jsou probrána jednotlivá bezpečnostní rizika a možnosti jejich řešení. Další oblastí je pak zajištění kontinuity provozu systému, který může být ohrožen buď nedostatečnou kapacitou, nebo výpadky systému. Následně jsou navržena řešení infrastruktury systému tak, aby toto riziko bylo minimalizováno a současně aby toto řešení umožnilo poskytovali služby kontinuálně navyšovat výkon systému. Na závěr je předvedena ukázková aplikace, na které jsou demonstrovány výsledky.
Anotace v angličtině
The thesis deals with an online foreign exchange payment application design and its crucial attribute - secure operation. Clients use standard Web browser, and mobile applications for making payments. The aim is to propose measures to ensure the system's robustness against possible security threats and satisfy the legislative and regulatory requirements and recommendations. Various security risks and respective solutions are discussed. Furthermore, threats to business continuity - such as lack of capacity and system failures - are addressed. The infrastructure for minimizing risks and optimizing system performance through scalability is proposed. To conclude, the draft for payment transaction security with two factored authentications demonstrates the chosen solution.
web application security, online payments, webservices, auto-scaling, high availability, mul-ti-factored authentication
Zásady pro vypracování
V teoretické části popište technologie pro distribuci zpráv v režimu klient-server, výkon aplikace a multiplaformní řešení klienta.
Analyzujte možnosti a navrhněte řešení škálování výkonu, odolnosti proti výpadku a odolnosti proti útoku.
Popište možnosti a navrhněte řešení vícefaktorové autentizace.
Navrhněte ukázkovovou aplikaci umožňující aktualizaci vybraných kurzů v reálném čase, zadávání příkazů k transakci a zobrazení aktuálního stavu transakcí.
Vytvořte ukázkovovou aplikaci.
Popište klíčové částí ukázkové aplikace.
Formulujte závěry a demonstrujte výsledky.
Zásady pro vypracování
V teoretické části popište technologie pro distribuci zpráv v režimu klient-server, výkon aplikace a multiplaformní řešení klienta.
Analyzujte možnosti a navrhněte řešení škálování výkonu, odolnosti proti výpadku a odolnosti proti útoku.
Popište možnosti a navrhněte řešení vícefaktorové autentizace.
Navrhněte ukázkovovou aplikaci umožňující aktualizaci vybraných kurzů v reálném čase, zadávání příkazů k transakci a zobrazení aktuálního stavu transakcí.
Vytvořte ukázkovovou aplikaci.
Popište klíčové částí ukázkové aplikace.
Formulujte závěry a demonstrujte výsledky.
Seznam doporučené literatury
NAGEL, Christian. Professional C\symbol{35} 6 and .Net Core 1.0. Indianapolis, IN: Wrox, a Wiley brand, published by John Wiley \& Sons, 2016. ISBN 111909660X.
ASP.NET SignalR \matsymb{lbrack}online\matsymb{rbrack}. 2017 \matsymb{lbrack}cit. 2017-01-27\matsymb{rbrack}. Dostupné z: http://signalr.net/
VELU, Vijay. Mobile Application Penetration Testing. Birmingham: Packt Publishing, 2016. ISBN 978-1785883378.
HERMES, Dan. Xamarin Mobile Application Development: Cross-Platform C\symbol{35} and Xamarin.Forms Fundamentals. Berkeley, CA: Apress, 2015. ISBN:978-1-4842-0215-9.
Https://www.owasp.org/ \matsymb{lbrack}online\matsymb{rbrack}. 2016 \matsymb{lbrack}cit. 2017-01-27\matsymb{rbrack}. Dostupné z: https://www.owasp.org
ANDERSON, Jonathan., John. MCREE a Robb. WILSON. Effective UI. Cambridge: O\symbol{39}Reilly, c2010. ISBN 059615478X.
COPELAND, Marshall. Microsoft Azure: planning, deploying, and managing your data center in the cloud. Berkeley, CA: Apress, 2015. Expert\symbol{39}s voice in Microsoft Azure. ISBN 1484210441.
GRIGORIK, Ilya. High-performance browser networking. Sebastopol, CA: O\symbol{39}Reilly Media, Inc., 2013. ISBN 1449344763.
Seznam doporučené literatury
NAGEL, Christian. Professional C\symbol{35} 6 and .Net Core 1.0. Indianapolis, IN: Wrox, a Wiley brand, published by John Wiley \& Sons, 2016. ISBN 111909660X.
ASP.NET SignalR \matsymb{lbrack}online\matsymb{rbrack}. 2017 \matsymb{lbrack}cit. 2017-01-27\matsymb{rbrack}. Dostupné z: http://signalr.net/
VELU, Vijay. Mobile Application Penetration Testing. Birmingham: Packt Publishing, 2016. ISBN 978-1785883378.
HERMES, Dan. Xamarin Mobile Application Development: Cross-Platform C\symbol{35} and Xamarin.Forms Fundamentals. Berkeley, CA: Apress, 2015. ISBN:978-1-4842-0215-9.
Https://www.owasp.org/ \matsymb{lbrack}online\matsymb{rbrack}. 2016 \matsymb{lbrack}cit. 2017-01-27\matsymb{rbrack}. Dostupné z: https://www.owasp.org
ANDERSON, Jonathan., John. MCREE a Robb. WILSON. Effective UI. Cambridge: O\symbol{39}Reilly, c2010. ISBN 059615478X.
COPELAND, Marshall. Microsoft Azure: planning, deploying, and managing your data center in the cloud. Berkeley, CA: Apress, 2015. Expert\symbol{39}s voice in Microsoft Azure. ISBN 1484210441.
GRIGORIK, Ilya. High-performance browser networking. Sebastopol, CA: O\symbol{39}Reilly Media, Inc., 2013. ISBN 1449344763.
Přílohy volně vložené
1 CD ROM
Přílohy vázané v práci
-
Převzato z knihovny
Ne
Plný text práce
Přílohy
Posudek(y) oponenta
Hodnocení vedoucího
Záznam průběhu obhajoby
Student seznámil komisi s výsledky své diplomové práce. Poté byla seznámena komise s posudky vedoucího a oponenta a následně byla vedena diskuse o diplomové práci, během které byly položeny následující dotazy:
Téma zabezpečení provozu online aplikací je v současné době velmi aktuální a ukázková aplikace pro online devizové platby je zvolena velmi vhodně. Student vytvořil logiku aplikace, její zabezpečení, serverovou a multiplatformní klientskou část a dále navrhl řešení provozní infrastruktury. (dr. Král)
Práce je zpracována kvalitně. Autor pozitivně hodnotí použití biometrie, která by se časem měla stát součástí aplikace. Jakým způsobem by zabránil případnému zneužití biometrie? Např. po "odcizení" otisku prstu uživatel těžko obdrží otisk nový. Jaké by bylo řešení v případě zneužití? Jde takovému zneužití stoprocentně zabránit? (dr. Horák)
Vaše práce je porovnání vůči vzorku. Co kdybyste použil metodu kontinuálního ověřování biometrickými prvky, jak co se týče biometrie hlasu tak i otisku. Každý telefon má přiřazen svůj vzorek hlasu? (prof. Jašek) Je vaše realizace realizací pro konkrétní firmu? Může vaše řešení použít i jiná firma? (dr. Sysala) Váš systém sbírá data o uživatelích a vy je archivujete. Řešíte anonymizaci uživatelů dle směrnic Evropské unie? Uchováváte informace o proběhlých transakcích a lze zpětně zjistit kdo jakou bankovní operaci provedl? A co se stane, když se uživatel z vašeho systému odhlásí? Skartují se data okamžitě nebo dle zákona jsou archivovány 10 let? Jakým způsobem jste změřil zatížení systému? Kde se geograficky nachází servisový software a co se stane když tento server v zahraničí vypadne? (dr. Bližňák)
Student jednal pohotově a všechny dotazy zodpověděl správně.