Start CZ

Zabezpečení aplikací - jak chránit data uživatelů?

Projekt "Inovace v odborném vzdělávání a přípravě" spolufinancován Evropskou unií

Úvod do tématu WQ
Informace pro učitele

Úvod do tématu WQ

V digitálním věku, kdy webové a mobilní aplikace hrají klíčovou roli v každodenním životě, je ochrana uživatelských dat prioritou. Prakticky každá aplikace zpracovává celou řadu údajů - od osobních a finančních informací až po údaje o zdravotním stavu a poloze. Správné zabezpečení těchto informací je důležité jak pro bezpečnost uživatelů, tak pro důvěru, kterou vkládají do aplikací a jejich vývojářů.

Rychlý vývoj technologií a rostoucí počet aplikací vytváří výzvy i z hlediska ochrany dat. Počet kybernetických útoků, úniků dat a pokusů neoprávněných osob o přístup k citlivým údajům se každoročně zvyšuje. V důsledku toho musí odborníci podílející se na návrhu a vývoji aplikací zavádět řešení, která účinně chrání data uživatelů před různými hrozbami.

Zabezpečení aplikací je komplexní proces, který zahrnuje jak technologie a osvědčené postupy, tak i pravidelné aktualizace a monitorování potenciálních zranitelností. V tomto webovém kurzu budou mít žáci možnost prozkoumat téma zabezpečení aplikací a seznámit se s klíčovými aspekty ochrany dat. Práce se bude týkat čtyř hlavních oblastí:

Šifrování dat: Šifrování je jedním z nejdůležitějších mechanismů ochrany dat, který je činí pro útočníky nepoužitelnými i v případě jejich zachycení. Skupina šifrování se bude zabývat různými metodami, například asymetrickým a symetrickým šifrováním, a jejich implementací v aplikacích. Šifrování se používá jak při ukládání dat (šifrování v klidu), tak při jejich přenosu (šifrování při přenosu).

Ověřování a autorizace uživatelů: Autentizace je proces potvrzení identity uživatele, zatímco autorizace určuje, zda byla uživateli udělena příslušná přístupová práva ke zdrojům. Skupina v této oblasti bude zkoumat, jak používat bezpečné metody ověřování, jako je dvoufaktorová autentizace (2FA) nebo vícefaktorová autentizace (MFA), které zvyšují bezpečnost přihlašování. Dále se žáci seznámí s vytvářením uživatelských relací a zabezpečením přístupu na úrovni aplikací.

Správa hesel: Hesla jsou jedním z nejběžnějších způsobů zabezpečení přístupu, ale jejich špatná správa může vést k vážným bezpečnostním zranitelnostem. Skupina pro správu hesel představí osvědčené postupy, jako je hashování hesel pomocí bezpečných algoritmů (např. bcrypt nebo Argon2), vyhýbání se ukládání hesel v nešifrované podobě a používání komplexních zásad pro hesla. Žáci budou mít možnost seznámit se s praktickými metodami správy hesel, které chrání uživatele před únikem dat.

Ochrana dat během přenosu: Přenos dat mezi aplikací a serverem je potenciálním místem odposlechu. Tato skupina se seznámí s technologiemi, které umožňují bezpečný přenos dat, například SSL/TLS (Secure Sockets Layer / Transport Layer Security). Pomocí těchto protokolů jsou spojení šifrována, což znemožňuje neoprávněným osobám odposlouchávat data. Žáci se seznámí s tím, jak a kdy tyto technologie používat a jak zajistit, aby spojení v aplikaci byla bezpečná a obtížně zachytitelná.

Informace pro učitele

WebQuest "Bezpečnost aplikací - jak chránit data uživatelů?" je určen žáky odborných škol, zejména v předmětech informatika a elektronika. Cílem WebQuestu je prohloubit znalosti klíčových metod a technologií pro zabezpečení uživatelských dat webových a mobilních aplikací. Vyplněním tohoto úkolu se žáci dozvědí, jaké jsou nejčastější hrozby, a naučí se účinné techniky obrany proti útokům na soukromí a integritu dat.

Prostřednictvím WebQuestu žáci:

• Seznámí se s hrozbami, které se mohou vyskytovat v aplikacích, a se základními principy bezpečného navrhování.

• Seznámí se základními technikami a technologiemi ochrany dat, jako je šifrování, ověřování, víceúrovňové ověřování a správa hesel.

• Pochopí rozdíl mezi bezpečným ukládáním dat a ochranou jejich přenosu.

• Naučí se analyzovat rizika, která mohou vyplývat v důsledku nedostatečného zabezpečení aplikací.

Žáci budou pracovat jak samostatně při shromažďování informací, tak ve skupinách a vytvářet prezentace o vybraném aspektu bezpečnosti aplikací. Práce bude probíhat pod časovým tlakem, což žákům umožní rozvíjet efektivní spolupráci a dovednosti řízení času.

Navrhovaná doba pro realizaci WQ:

Žáci by si na dokončení WebQuestu měli vyhradit přibližně 12 vyučovacích hodin.

Kritéria hodnocení:

• stupeň vyčerpání předmětu (maximální počet bodů: 5, překročení této znalosti: počet bodů 6),

• estetika prezentace a způsob prezentace informací,

• angažovanost a schopnost žáků spolupracovat.

Hodnocení:

• Učitel pomůže žákům analyzovat obsah, dokud mu žáci neporozumí. Bude jim spíše poskytovat pomoc, rady, vysvětlení než hotová řešení. Tato metoda bude dobrým způsobem, jak realizovat samostatnou činnost a tvůrčí myšlení.

• Učitel by měl s žáky pečlivě zopakovat obsah, dokud mu žáci neporozumí. Měl by jim však poskytovat spíše pomoc, rady, vysvětlení než hotová řešení. Tato metoda bude dobrým způsobem, jak zavést samostatnou činnost a tvůrčí myšlení.

• Rozdělení do skupin může být provedeno podle různých kritérií, např. podle kognitivních schopností žáků, dovedností, zájmů tak, aby byly "rovnoměrně" rozloženy silné stránky v každé skupině.

• Učitel může žákům při práci ve skupinách pomoci tím, že jim bude klást navádějící otázky. Je důležité mít na paměti, že se učí nový způsob práce (proces).

• Učitel by měl žákům poskytnout konkrétní informace o hodnocení jejich výkonu, a to jak během skupinové práce, tak při shrnutí výsledků.

• Čas na projekt by měl být přizpůsoben schopnostem žáků. Není předem stanoven. Časové rámce uvedené pro jednotlivé fáze procesu je třeba považovat za orientační.

ÚKOL

Rozdělíte se do 4 skupin. Každá skupina si připraví prezentaci o jiném aspektu bezpečnosti aplikací. Během prezentace se jeden člen skupiny ujme role odborníka, který bude podrobně diskutovat o přiděleném tématu, zatímco ostatní budou vystupovat jako publikum, klást otázky a iniciovat diskusi o přednostech a možných problémech konkrétního bezpečnostního prvku.

Rozdělení do skupin a témat prezentací:

Skupina 1: Šifrování dat

Skupinový úkol: Diskutujte o tom, co je to šifrování dat, proč je důležité chránit uživatelská data, jaké jsou jeho výhody a jaké typy šifrování se v aplikacích používají.

Probírané body: typy šifrování (symetrické a asymetrické), šifrování na úrovni aplikace, osvědčené postupy při implementaci šifrování.

Role experta: Expert bude hovořit o tom, co je to šifrování, představí typy šifrování a vysvětlí jejich použití.

Skupina 2: Ověřování a autorizace uživatelů

Skupinový úkol: Popsat, jak se autentizace liší od autorizace, které metody autentizace jsou nejúčinnější a jak používání těchto postupů zvyšuje bezpečnost aplikací.

Body, kterými je třeba se zabývat: víceúrovňové ověřování, ověřování rolí, ověřování na základě hesla, biometrie, tokeny.

Role experta: Odborník vysvětlí procesy ověřování a autorizace, uvede příklady aplikací a pohovoří o výhodách víceúrovňového ověřování.

Skupina 3: Správa hesel

Skupinový úkol: Diskutujte o osvědčených postupech pro správu hesel, o tom, jak hesla bezpečně ukládat a proč byste měli používat správce hesel.

Probírané okruhy: zásady vytváření bezpečných hesel, zásady ukládání a šifrování hesel, význam správců hesel, omezení hesel.

Role experta: Odborník představí principy bezpečného ukládání hesel, pohovoří o technologiích šifrování hesel a uvede příklady z trhu.

Skupina 4: Ochrana dat během přenosu

Skupinový úkol: Diskutujte o způsobech zabezpečení dat při přenosu mezi uživatelem a serverem, aby se zabránilo jejich zachycení.

Body, které je třeba probrat: šifrované protokoly (SSL/TLS), bezpečnostní certifikáty, zabezpečení proti útokům MITM (man-in-the-middle), osvědčené postupy ochrany přenosu.

Role experta: Odborník bude hovořit o bezpečnostních protokolech, jejich využití při ochraně přenosu dat a bude diskutovat o konkrétních řešeních, jako jsou certifikáty SSL/TLS.

Po představení tématu každá skupina zahájí diskusi, v níž mohou ostatní skupiny klást otázky, sdělovat své připomínky a komentovat představené bezpečnostní techniky.

Proč pracovat ve skupinách?

Každá skupina bude zodpovědná za jiný bezpečnostní problém, což vám umožní osvojit si širokou škálu bezpečnostních technik a procvičit si komunikační a analytické dovednosti. Před zahájením úkolu si společně s učitelem vylosujete témata.

Fáze 1: Úvod do tématu

• Nezapomeňte se seznámit s tématem WebQuestu pomocí uvedených zdrojů.

• Budou probrány základní otázky zabezpečení aplikací, aby všichni žáci měli základní znalosti potřebné pro práci na projektu.

Fáze 2: Práce na prezentacích

• Žáci budou rozděleni do čtyř skupin, z nichž každá dostane k řešení jeden problém.

• Skupiny budou pracovat na přípravě prezentací, které budou zahrnovat základní principy a praktické tipy pro každé téma.

• Učitel pomůže žákům s výběrem vhodných zdrojů a informací.

Fáze 3: Diskuse a prezentace výsledků

• Každá skupina představí třídě svá zjištění a uvede klíčové informace, výhody a problémy týkající se určitého aspektu zabezpečení aplikací.

• Po každé prezentaci bude následovat diskuse o nejdůležitějších technikách a řešeních, která mohou přinést největší užitek při ochraně uživatelských dat.

Fáze 4: Hodnocení

• Učitel zhodnotí nasazení jednotlivých skupin a kvalitu připravených prezentací s přihlédnutím ke způsobu předávání informací, pochopení tématu a aktivitě během diskuse.

• Hodnocení bude založeno na kritériích zahrnujících obsahovou hodnotu, schopnost spolupráce ve skupině a aktivní účast na prezentacích a diskusích.

Pracovní fáze a časový harmonogram

2h

Fáze 1

4h

Fáze 2

4h

Fáze 3

2h

Fáze 4

Počet bodů	2	3	4
Obsah práce	Obsahově slabá práce. Chybějící prvky.	Dobrá práce po obsahové stránce. Chybějící nebo drobné chyby.	Práce je obsahově velmi dobrá. Správný, zajímavý obsah.
Prezentace práce	• Nepříliš čtivá prezentace, zběžná a nezajímavá. • Neúčast v diskusi.	• Prezentace jasná, dobrá, zajímavá. • Žák se zapojí do diskuse, ale jeho příspěvek je malý.	• Prezentace pěkná, komplexní, vzbuzující zájem. • Žák se zapojuje do diskuse a jeho příspěvek je výrazný.
Estetické dojmy	• Práce není příliš čitelná, nevzhledná, nedbale provedená. • Špatné rozložení prvků na stránce.	• Práce je čitelná, estetická, úhledná. • Dobré rozložení prvků na stránce.	• Esteticky příjemná, čitelná, jasná, příjemná práce, velmi úhledná. Graficky atraktivní. • Dobré rozložení prvků na stránce. Výrazná práce.
Práce ve skupině	Nedostatek odhodlání všech členů skupiny pracovat a kreativně spolupracovat.	Dobré zapojení do práce všech členů skupiny. Schopnost spolupracovat na uspokojivé úrovni.	Plné zapojení do práce všech členů skupiny. Vzájemná motivace k práci. Schopnost spolupracovat jako skupina na vysoké úrovni.

Příručka pro učitele

1. Učitel by měl zkontrolovat obsah WebQuestu a posoudit, zda je potřeba doplnit základní znalosti žáků potřebné k jeho hladkému dokončení, než jej zadá žákům k vyplnění.

2. Učitel by měl s žáky pečlivě zkontrolovat obsah WebQuestu, aby se ujistil, že žáci porozuměli jeho obsahu.

3. Učitel by měl před odevzdáním WebQuestu k realizaci zkontrolovat zdroje a v případě potřeby je vybrat, zkrátit nebo rozšířit o další (aktuální) odkazy.

4. Rozdělení do skupin lze provést podle libovolných kritérií, např. podle kognitivních schopností žáků, jejich dovedností, zájmů nebo předpokladů tak, aby síly jednotlivých skupin byly "rovnoměrně" rozloženy.

5. Čas na WebQuest by měl být přizpůsoben schopnostem žáků. Není předem stanoven. Měla by být stanovena individuálně s ohledem na možnosti konkrétní skupiny žáků.

6. Učitel by měl poskytovat pomoc v každé fázi WebQuestu - konzultovat průběh práce/kvalitu spolupráce.

7. Žáci by měli mít přístup k počítači a internetu, doporučuje se práce na počítači s velkou obrazovkou (vytvoření atmosféry skupinové práce).

8. Doporučuje se, aby byl WebQuest realizován i mezi žáky, kteří studují jiné profily technického/odborného vzdělávání, než je předmět tohoto WebQuestu. Žáci si tak budou moci rozšířit své znalosti v jiných technických/odborných oborech a rozvíjet se v nové oblasti.

9. Při vyvozování závěrů z dokončeného WebQuestu by se měl učitel zaměřit zejména na analýzu měkkých dovedností (např. práce ve skupině, vyjednávání, spolupráce, schopnost prezentovat své stanovisko), které si každý z žáků účastnících se WebQuestu osvojil, a zdůraznit, že tyto dovednosti budou velmi užitečné v jejich budoucí profesní práci (to může být také součástí doplňkového hodnocení).

10. Navrhuje se šířit výsledky práce (výsledky/produkty) dosažené žáky při realizaci WebQuestu v rámci vzdělávacího zařízení jako "osvědčené postupy" a povzbudit tak ostatní žáky/učitele k práci s touto inovativní výukovou metodou.