Secure access to web interface

Dokument obsahuje základní principy a postupy při bezpečném přístupu do webového informačního systému. Skládá se z teoretické části a následné praktické realizace. Tyto dvě části jsou psané přímo v každé kapitole současně. Zjištěné teoretické poznatky byli testované na jednoduché webové aplikaci vytvořené v programovacím jazyku PHP na webovém serveru Apache s použitím databáze MySQL. V úvodních kapitolách byl rozebrán bezpečnostní aspekt použitého programovacího prostředí, jeho slabiny i přednosti. Hlavní častí práce je pak popis množství bezpečnostních problémů, se kterými se nejčastěji potýkají mnohé aplikace na webu. Jedná se především o ošetření vstupů a výstupů aplikace. Samostatne je řešena problematika hesel. Nejdříve je rozebrána teorie problému, následně navrženo několik řešení, ze kterých je podrobně popsáno to, které bylo prakticky realizováno. Do práce je zakomponován taky systém hlášení, který slouží na upozorňování uživatele v případe chyb. V poslední sekci je rozebrána problematika certifikátů, jak serverových tak i klientských. Dokument obsahuje podrobný popis použitých skriptů a souvislostí mezi nima, v spojení s množstvem obrázků, které mají dopomoct čitateli k lepšímu porozumění problematiky.This document contains basic principles and processes regarding secure access to web information system. It consists of theoretic and applied part. These are mainly written together in thesis’s chapters. Theoretic informations were tested on simple web application created in PHP computer language on Apache web server using MySQL database. In the beginning, there is an analysis of used programming environment, especially it’s advantages and disadvantages. The main part of this document is simple characterization of many security problems which can be found on many websites all around the world. In the first place it’s a handling problem of inputs and outputs in the web applications. Password disputableness is solving separatelly. Theory of a problem is analysed first of all. Then a couple of solving methods are suggested and the one which is practically realized is described in detail. There is a notification system created which is used to inform user about errors appeared in web application. In the last section there is a client and server certificates described. This document contains fully characterization of used scripts and connection between them. They are supplemented with many pictures and screenshots which are used to better understanding the disputableness of web security.