Start PL

Zabezpečenie aplikácií - ako chrániť údaje používateľov?

Projekt „Inovácie vo vzdelávaní VET “ dotovaný Európskou úniou

Úvod do témy WQ
Informácie pre učiteľov

Úvod do témy WQ

V digitálnom veku, keď webové a mobilné aplikácie zohrávajú kľúčovú úlohu v každodennom živote, je ochrana údajov používateľov prioritou. Prakticky každá aplikácia spracúva rôzne údaje - od osobných a finančných informácií až po údaje o zdraví a polohe. Správne zabezpečenie týchto informácií je dôležité pre bezpečnosť používateľov aj pre ich dôveru v aplikácie a ich vývojárov.

Rýchly vývoj technológií a rastúci počet aplikácií predstavujú výzvu aj z hľadiska ochrany údajov. Počet kybernetických útokov, únikov údajov a pokusov neoprávnených osôb o prístup k citlivým údajom sa každoročne zvyšuje. V dôsledku toho musia odborníci, ktorí sa podieľajú na návrhu a vývoji aplikácií, zavádzať riešenia, ktoré účinne chránia údaje používateľov pred rôznymi hrozbami.

Zabezpečenie aplikácií je komplexný proces, ktorý zahŕňa technológie a osvedčené postupy, ako aj pravidelné aktualizácie a monitorovanie potenciálnych zraniteľností. V tejto webovej sekcii budú mať študenti možnosť preskúmať tému bezpečnosti aplikácií a dozvedieť sa o kľúčových aspektoch ochrany údajov. Práca sa bude týkať štyroch hlavných oblastí:

Šifrovanie údajov: Šifrovanie je jedným z najdôležitejších mechanizmov ochrany údajov, vďaka ktorému sú pre útočníkov nepoužiteľné aj v prípade, že ich zachytia. Skupina šifrovania preskúma rôzne metódy, napríklad asymetrické a symetrické šifrovanie, a spôsoby ich implementácie v aplikáciách. Šifrovanie sa používa počas uchovávania údajov (šifrovanie v pokoji) aj počas ich prenosu (šifrovanie pri prenose).

Overovanie a autorizácia používateľov: Autentifikácia je proces potvrdenia identity používateľa, zatiaľ čo autorizácia určuje, či boli používateľovi udelené príslušné prístupové práva k zdrojom. Skupina v tejto oblasti preskúma, ako používať bezpečné metódy autentifikácie, ako je dvojfaktorová autentifikácia (2FA) alebo viacfaktorová autentifikácia (MFA), ktoré zvyšujú bezpečnosť prihlasovania. Okrem toho sa študenti dozvedia o vytváraní relácií používateľov a zabezpečení prístupu na úrovni aplikácie.

Správa hesiel: Heslá sú jedným z najbežnejších spôsobov zabezpečenia prístupu, ale ich nesprávna správa môže viesť k vážnym bezpečnostným zraniteľnostiam. Skupina pre správu hesiel predstaví osvedčené postupy, ako je hashovanie hesiel pomocou bezpečných algoritmov (napr. bcrypt alebo Argon2), vyhýbanie sa ukladaniu hesiel v nezašifrovanej podobe a používanie komplexnej politiky hesiel. Študenti budú mať možnosť naučiť sa praktické metódy správy hesiel, ktoré chránia používateľov pred únikom údajov.

Ochrana údajov počas prenosu: Prenos údajov medzi aplikáciou a serverom je potenciálnym miestom zachytenia. Táto skupina sa oboznámi s technológiami, ktoré umožňujú bezpečný prenos údajov, napríklad SSL/TLS (Secure Sockets Layer / Transport Layer Security). Pomocou týchto protokolov sú spojenia šifrované, čo znemožňuje odpočúvanie údajov neoprávnenými osobami. Študenti budú skúmať, ako a kedy používať tieto technológie a ako zabezpečiť, aby boli spojenia v aplikácii bezpečné a ťažko zachytiteľné.

Informácie pre učiteľov

WebQuest "Bezpečnosť aplikácií - ako chrániť údaje používateľov?" je určený pre študentov odborných škôl, najmä v kurzoch informatiky a elektroniky. Cieľom WebQuestu je prehĺbiť ich vedomosti o kľúčových metódach a technológiách na zabezpečenie používateľských údajov webových a mobilných aplikácií. Vyplnením tejto úlohy sa žiaci dozvedia, aké sú najčastejšie hrozby, a naučia sa účinné techniky obrany proti útokom na súkromie a integritu údajov.

Prostredníctvom realizácie WebQuestu študenti:

• Dozvedia sa o rizikách, ktoré môžu existovať v aplikáciách, a o základných zásadách bezpečného navrhovania.

• Naučia sa základné techniky a technológie ochrany údajov, ako je šifrovanie, overovanie, viacúrovňové overovanie a správa hesiel.

• Pochopia rozdiel medzi bezpečným ukladaním údajov a ochranou ich prenosu.

• Naučia sa analyzovať riziká, ktoré môžu vzniknúť v dôsledku nedostatočného zabezpečenia aplikácií.

Študenti budú pracovať samostatne - zhromažďovať informácie - a v skupinách vytvárať prezentácie o vybranom aspekte bezpečnosti aplikácií. Práca bude prebiehať pod časovým tlakom, čo študentom umožní rozvíjať efektívnu spoluprácu a zručnosti v oblasti riadenia času.

Navrhovaný čas na implementáciu WQ:

Študenti by si na vyplnenie WebQuestu mali vyhradiť približne 12 vyučovacích hodín.

Kritériá hodnotenia:

• stupeň vyčerpania predmetu (maximálny počet bodov: 5, prekročenie tejto znalosti: počet bodov 6),

• estetiku prezentácie a spôsob prezentácie informácií,

• angažovanosť a schopnosť žiakov spolupracovať.

Hodnotenie:

• Učiteľ pomôže žiakom analyzovať obsah, kým ho žiaci nepochopia. Bude im poskytovať pomoc, rady, vysvetlenia, a nie hotové riešenia. Takáto metóda bude dobrým spôsobom realizácie samostatnej činnosti a tvorivého myslenia.

• Učiteľ by mal so žiakmi pozorne preberať obsah, kým ho žiaci nepochopia. Mal by im však poskytovať skôr pomoc, rady, vysvetlenia než hotové riešenia. Takáto metóda bude dobrým spôsobom realizácie samostatnej činnosti a tvorivého myslenia.

• Rozdelenie do skupín sa môže uskutočniť podľa rôznych kritérií, napr. podľa kognitívnych schopností, zručností, záujmov žiakov, aby sa "rovnomerne" rozložili silné stránky v každej skupine.

• Učiteľ môže žiakom pri práci v skupinách pomôcť tým, že im kladie usmerňujúce otázky. Je dôležité, aby si uvedomili, že sa učia nový spôsob práce (proces).

• Učiteľ by mal žiakom poskytnúť konkrétne informácie o hodnotení ich výkonu, a to počas skupinovej práce aj pri sumarizácii výsledkov.

• Čas na projekt by mal byť prispôsobený schopnostiam študentov. Nie je vopred stanovený. Časové rámce uvedené pre jednotlivé fázy procesu by sa mali považovať za orientačné.

ÚLOHA

Rozdelíte sa do 4 skupín. Každá skupina pripraví prezentáciu o inom aspekte bezpečnosti aplikácií. Počas prezentácie jeden člen skupiny prevezme úlohu odborníka, ktorý bude podrobne diskutovať o pridelenej téme, zatiaľ čo ostatní budú vystupovať ako publikum, klásť otázky a iniciovať diskusiu o výhodách a potenciálnych problémoch konkrétneho bezpečnostného prvku.

Rozdelenie do skupín a témy prezentácií:

Skupina 1: Šifrovanie údajov

Skupinová úloha: Diskutujte o tom, čo je to šifrovanie údajov, prečo je dôležité chrániť údaje používateľov, aké sú jeho výhody a aké typy šifrovania sa v aplikáciách používajú.

Body, ktoré sa budú preberať: typy šifrovania (symetrické a asymetrické), šifrovanie na úrovni aplikácie, osvedčené postupy pri implementácii šifrovania.

Úloha experta: Expert bude hovoriť o tom, čo je to šifrovanie, predstaví typy šifrovania a vysvetlí ich použitie.

Skupina 2: Overovanie a autorizácia používateľov

Skupinová úloha: Popísať, ako sa autentifikácia líši od autorizácie, aké metódy autentifikácie sú najefektívnejšie a ako používanie týchto procesov zvyšuje bezpečnosť aplikácií.

Body, ktorými sa treba zaoberať: viacúrovňové overovanie, overovanie rolí, overovanie na základe hesla, biometria, tokeny.

Úloha experta: Odborník vysvetlí procesy autentifikácie a autorizácie, uvedie príklady aplikácií a porozpráva o výhodách viacúrovňovej autentifikácie.

Skupina 3: Správa hesiel

Skupinová úloha: Diskutujte o osvedčených postupoch pri správe hesiel, o tom, ako bezpečne ukladať heslá a prečo by ste mali používať správcov hesiel.

Preberané body: zásady vytvárania bezpečných hesiel, zásady ukladania a šifrovania hesiel, význam správcov hesiel, obmedzenia hesiel.

Úloha experta: Odborník predstaví princípy bezpečného ukladania hesiel, porozpráva o technológiách šifrovania hesiel a uvedie príklady z trhu.

Skupina 4: Ochrana údajov počas prenosu

Skupinová úloha: Diskutujte o spôsoboch zabezpečenia údajov počas prenosu medzi používateľom a serverom, aby sa zabránilo ich zachyteniu.

Body, ktorými sa treba zaoberať: šifrované protokoly (SSL/TLS), bezpečnostné certifikáty, bezpečnosť proti útokom MITM (man-in-the-middle), osvedčené postupy pri ochrane prenosu.

Úloha experta: Odborník bude hovoriť o bezpečnostných protokoloch, ich použití pri ochrane prenosu údajov a diskutovať o konkrétnych riešeniach, ako sú certifikáty SSL/TLS.

Po predstavení témy každá skupina iniciuje diskusiu, v ktorej môžu ostatné skupiny klásť otázky, zdieľať svoje pripomienky a komentovať predstavené bezpečnostné techniky.

Prečo pracovať v skupinách?

Každá skupina bude zodpovedná za iný bezpečnostný problém, čo vám umožní naučiť sa širokú škálu bezpečnostných techník a precvičiť si komunikačné a analytické zručnosti. Pred začatím úlohy si spolu s učiteľom vylosujete témy.

Etapa 1: Úvod do témy

• Nezabudnite sa oboznámiť s témou WebQuestu pomocou poskytnutých zdrojov.

• Budú sa preberať a diskutovať základné otázky bezpečnosti aplikácií, aby sa zabezpečilo, že všetci študenti budú mať základné znalosti potrebné na prácu na projekte.

Etapa 2: Práca na prezentáciách

• Študenti budú rozdelení do štyroch skupín, z ktorých každá dostane na riešenie jeden problém.

• Skupiny budú pracovať na príprave prezentácií, ktoré budú obsahovať základné zásady a praktické tipy pre každú tému.

• Učiteľ podporí žiakov pri výbere vhodných zdrojov a informácií.

Etapa 3: Diskusia a prezentácia výsledkov

• Každá skupina predstaví svoje zistenia triede a uvedie kľúčové informácie, výhody a výzvy týkajúce sa konkrétneho aspektu bezpečnosti aplikácií.

• Po každej prezentácii bude nasledovať diskusia o najdôležitejších technikách a riešeniach, ktoré môžu priniesť najväčší úžitok pri ochrane údajov používateľov.

Etapa 4: Hodnotenie

• Učiteľ zhodnotí nasadenie jednotlivých skupín a kvalitu pripravených prezentácií, pričom zohľadní spôsob odovzdávania informácií, pochopenie témy a aktivitu počas diskusie.

• Hodnotenie bude založené na kritériách vrátane zásluh, schopnosti spolupracovať v skupine a aktívnej účasti na prezentáciách a diskusiách.

Fázy práce a časový harmonogram

2h

Etapa 1

4h

Etapa 2

4h

Etapa 3

2h

Etapa 4

Počet bodov	2	3	4
Obsah práce	Obsahovo slabá práca. Chýbajúce prvky.	Dobrá práca z hľadiska obsahu. Chýbajúce alebo drobné chyby.	Práca je veľmi dobrá z hľadiska obsahu. Správny, zaujímavý obsah.
Prezentácia práce	• Prezentácia je málo čitateľná, povrchná a nevzbudzuje záujem. • Žiadna účasť v diskusii.	• Prezentácia jasná, dobrá, zaujímavá. • Študent sa zapája do diskusie, ale jeho príspevok je malý.	• Prezentácia pekná, komplexná, vzbudzujúca záujem. • Študent sa zapája do diskusie a jeho príspevok je silný.
Estetický dojem	• Práca je málo čitateľná, nevzhľadná, nedbalo vyhotovená. • Zlé rozloženie prvkov na stránke.	• Práca je čitateľná, estetická, úhľadná. • Dobré rozloženie prvkov na stránke.	• Estetická, čitateľná, jasná, príťažlivá a veľmi starostlivá práca. Graficky atraktívna. • Dobré rozloženie prvkov na stránke. Výrazná práca.
Práca v skupine	Nedostatok odhodlania všetkých členov skupiny pracovať a tvorivo spolupracovať.	Dobré zapojenie do práce všetkých členov skupiny. Schopnosť spolupracovať na uspokojivej úrovni.	Plné zapojenie do práce všetkých členov skupiny. Vzájomná motivácia k práci. Schopnosť spolupracovať ako skupina na vysokej úrovni.

Príručka pre učiteľa

1. Pred začatím realizácie WebQuestu by si mal učiteľ preštudovať jeho obsah a posúdiť, či je potrebné doplniť základné vedomosti žiakov, aby mohli plynule pracovať na projekte.

2. Učiteľ by mal dôkladne analyzovať obsah WebQuestu spoločne so študentmi, aby si bol istý, že pochopili jeho podstatu.

3. Pred realizáciou WebQuestu by mal učiteľ preskúmať zdroje a podľa potreby ich upraviť, obmedziť alebo rozšíriť o ďalšie (aktuálne) odkazy.

4. Rozdelenie do skupín môže byť vykonané podľa rôznych kritérií, napríklad podľa kognitívnych schopností žiakov, ich zručností, záujmov či predispozícií, aby sa sily v jednotlivých skupinách rovnomerne rozložili.

5. Čas na realizáciu WebQuestu by mal byť prispôsobený možnostiam študentov. Nie je striktne stanovený. Je potrebné ho individuálne upraviť podľa konkrétnej skupiny žiakov.

6. Učiteľ by mal byť nápomocný v každej fáze realizácie WebQuestu – konzultovať priebeh práce/skupinovú spoluprácu.

7. Žiakom by mal byť zabezpečený prístup k počítaču a internetu. Odporúča sa práca pri počítači s veľkou obrazovkou (vytváranie atmosféry skupinovej práce).

8. Odporúča sa realizácia WebQuestu aj medzi študentmi, ktorí sa vzdelávajú na iných technických/odborných profiloch, než je téma WebQuestu. Takýmto spôsobom si môžu rozšíriť svoje vedomosti z iných oblastí a rozvíjať sa v novej disciplíne.

9. Pri vyhodnocovaní výsledkov WebQuestu by sa mal učiteľ zamerať na analýzu mäkkých zručností (napr. tímová práca, vyjednávanie, spolupráca, schopnosť prezentácie stanoviska), ktoré získal každý zo študentov počas realizácie projektu, s dôrazom na ich užitočnosť v budúcej pracovnej kariére.

10. Odporúča sa prezentovať výsledky a produkty dosiahnuté študentmi v rámci WebQuestu na úrovni vzdelávacej inštitúcie ako „best practices“, čím sa inšpirujú ďalší študenti/učitelia k práci s využitím tejto inovatívnej metódy výučby.