Start PL

Bezpieczeństwo aplikacji – jak chronić dane użytkowników?

Projekt „Innowacje w edukacji VET" dofinansowany przez Unię Europejską

Wprowadzenie do tematu WQ
Informacje dla nauczyciela

Wprowadzenie do tematu: "Bezpieczeństwo aplikacji – jak chronić dane użytkowników?"

W erze cyfrowej, gdy aplikacje internetowe i mobilne pełnią kluczową rolę w codziennym życiu, ochrona danych użytkowników jest priorytetem. Praktycznie każda aplikacja przetwarza różnorodne dane – od informacji osobistych i finansowych, po dane zdrowotne i lokalizacyjne. Właściwe zabezpieczenie tych informacji ma znaczenie zarówno dla bezpieczeństwa użytkowników, jak i dla zaufania, jakie pokładają oni w aplikacjach i ich twórcach.

Dynamiczny rozwój technologii i rosnąca liczba aplikacji stwarzają również wyzwania w zakresie ochrony danych. Z każdym rokiem rośnie liczba cyberataków, wycieków danych i prób uzyskania dostępu do danych wrażliwych przez nieuprawnione osoby. W rezultacie specjaliści zajmujący się projektowaniem i tworzeniem aplikacji muszą wprowadzać rozwiązania, które będą efektywnie chronić dane użytkowników przed różnorodnymi zagrożeniami.

Zabezpieczenie aplikacji jest procesem złożonym, obejmującym zarówno technologie, jak i dobre praktyki oraz regularne aktualizacje i monitorowanie potencjalnych luk w zabezpieczeniach. W niniejszym WebQueście uczniowie będą mieli okazję zgłębić temat bezpieczeństwa aplikacji, poznając kluczowe aspekty związane z ochroną danych. Praca będzie obejmować cztery główne obszary:

Szyfrowanie danych: Szyfrowanie jest jednym z najważniejszych mechanizmów ochrony danych, które sprawia, że nawet w przypadku ich przechwycenia są one bezużyteczne dla napastników. Grupa zajmująca się szyfrowaniem zgłębi różne metody, takie jak szyfrowanie asymetryczne i symetryczne, oraz przeanalizuje, jak można je wdrożyć w aplikacjach. Szyfrowanie jest wykorzystywane zarówno podczas przechowywania danych (szyfrowanie w spoczynku), jak i w trakcie ich przesyłania (szyfrowanie w tranzycie).

Uwierzytelnianie i autoryzacja użytkowników: Uwierzytelnianie to proces potwierdzenia tożsamości użytkownika, podczas gdy autoryzacja decyduje o przyznaniu mu odpowiednich uprawnień dostępu do zasobów. Grupa zajmująca się tym obszarem przeanalizuje, jak stosować bezpieczne metody uwierzytelniania, takie jak uwierzytelnianie dwuskładnikowe (2FA) czy uwierzytelnianie wielopoziomowe (MFA), które zwiększają bezpieczeństwo logowania. Ponadto uczniowie poznają zasady tworzenia sesji użytkowników oraz zabezpieczania dostępu na poziomie aplikacji.

Zarządzanie hasłami: Hasła są jednym z najczęstszych sposobów zabezpieczania dostępu, lecz ich niewłaściwe zarządzanie może prowadzić do poważnych luk w bezpieczeństwie. Grupa zajmująca się zarządzaniem hasłami przedstawi najlepsze praktyki, takie jak haszowanie haseł przy użyciu bezpiecznych algorytmów (np. bcrypt lub Argon2), unikanie przechowywania haseł w niezaszyfrowanej formie oraz stosowanie polityki kompleksowych haseł. Uczniowie będą mieli okazję poznać praktyczne metody zarządzania hasłami, które chronią użytkowników przed wyciekami danych.

Ochrona danych podczas transmisji: Transmisja danych pomiędzy aplikacją a serwerem stanowi potencjalny punkt przechwycenia. Grupa ta zapozna się z technologiami, które pozwalają na bezpieczną transmisję danych, takimi jak SSL/TLS (Secure Sockets Layer / Transport Layer Security). Dzięki tym protokołom połączenia są szyfrowane, co uniemożliwia podsłuchanie danych przez niepowołane osoby. Uczniowie zbadają, jak i kiedy stosować te technologie oraz jak zapewnić, by połączenia w aplikacji były bezpieczne i trudne do przechwycenia.

Informacje dla nauczyciela

WebQuest „Bezpieczeństwo aplikacji – jak chronić dane użytkowników?” jest przeznaczony dla uczniów szkół zawodowych, zwłaszcza w kierunkach informatyki i elektroniki. Celem WebQuestu jest pogłębienie wiedzy na temat kluczowych metod i technologii zabezpieczających dane użytkowników aplikacji internetowych i mobilnych. Dzięki realizacji tego zadania uczniowie dowiedzą się, jakie zagrożenia są najczęstsze, oraz poznają skuteczne techniki obrony przed atakami na prywatność i integralność danych.

Dzięki realizacji WebQuestu uczniowie:

• Dowiedzą się, jakie zagrożenia mogą występować w aplikacjach oraz jakie są podstawowe zasady bezpiecznego projektowania.

• Poznają podstawowe techniki i technologie ochrony danych, takie jak szyfrowanie, autoryzacja, uwierzytelnianie wielopoziomowe oraz zarządzanie hasłami.

• Zrozumieją różnicę między bezpiecznym przechowywaniem danych a ochroną ich transmisji.

• Nauczą się analizować zagrożenia, jakie mogą wynikać z nieprawidłowego zabezpieczenia aplikacji.

Uczniowie będą pracować zarówno samodzielnie – zbierając informacje – jak i w grupach, tworząc prezentacje dotyczące wybranego aspektu bezpieczeństwa aplikacji. Praca będzie odbywała się pod presją czasu, co pozwoli uczniom na rozwinięcie umiejętności efektywnej współpracy i zarządzania czasem.

Sugerowany czas na realizację WQ:

Uczniowie powinni przeznaczyć na realizację WebQuestu około 12 godzin lekcyjnych.

Kryteria oceny:

• stopień wyczerpania tematu (maksymalna ocena: 5, przekroczenie tej wiedzy: ocena 6),

• estetyka prezentacji oraz sposób przedstawienia informacji,

• zaangażowanie i umiejętność współpracy uczniów.

Ewaluacja:

• Nauczyciel pomoże uczniom przeanalizować treści wspólnie z nimi, aż do momentu ich zrozumienia przez uczniów. Będzie służyć im pomocą, radą, wyjaśnieniami, a nie gotowymi rozwiązaniami. Taka metoda będzie dobrą formą wdrażania do samodzielnego działania i twórczego myślenia.

• Nauczyciel powinien dokładnie przeanalizować treści wspólnie z uczniami, aż do momentu ich zrozumienia przez uczniów. Powinien jednak bardziej służyć im pomocą, radą, wyjaśnieniami, a nie gotowymi rozwiązaniami. Taka metoda będzie dobrą formą wdrażania do samodzielnego działania i twórczego myślenia.

• Podział na grupy może być dokonany według różnych kryteriów, np. ze względu na możliwości poznawcze uczniów, ich umiejętności, zainteresowania, tak aby „równo” rozłożyć siły w poszczególnych grupach.

• Nauczyciel może pomagać uczniom, gdy pracują w grupach zadając im pytania naprowadzające. Należy pamiętać, że uczą się oni nowego sposobu pracy (procesu).

• Nauczyciel powinien podawać uczniom konkretne informacje dotyczące oceny ich osiągnięć, zarówno w czasie pracy grupowej, jak i przy podsumowaniu wyników.

• Czas na realizację projektu powinien być dostosowany do możliwości uczniów. Nie jest z góry narzucony. Podane ramy czasowe poszczególnych etapów procesu należy traktować orientacyjnie.

ZADANIE

Podzielicie się na 4 grupy. Każda grupa przygotuje prezentację dotyczącą innego aspektu bezpieczeństwa aplikacji. W trakcie prezentacji jeden z członków grupy wcieli się w rolę eksperta, który szczegółowo omówi przydzielony temat, a pozostali będą pełnić rolę słuchaczy, zadawać pytania i inicjować dyskusję o zaletach oraz potencjalnych wyzwaniach związanych z danym zabezpieczeniem.

Podział na grupy i tematy prezentacji:

Grupa 1: Szyfrowanie danych

Zadanie grupy: Omówienie, czym jest szyfrowanie danych, dlaczego jest istotne dla ochrony danych użytkowników, jakie są jego zalety oraz jakie typy szyfrowania są stosowane w aplikacjach.

Punkty do poruszenia: rodzaje szyfrowania (symetryczne i asymetryczne), szyfrowanie na poziomie aplikacji, najlepsze praktyki w implementacji szyfrowania.

Rola eksperta: Ekspert opowie, czym jest szyfrowanie, przedstawi typy szyfrowania oraz wyjaśni ich zastosowania.

Grupa 2: Uwierzytelnianie i autoryzacja użytkowników

Zadanie grupy: Opisanie, czym różni się uwierzytelnianie od autoryzacji, jakie metody uwierzytelniania są najskuteczniejsze oraz jak stosowanie tych procesów zwiększa bezpieczeństwo aplikacji.

Punkty do poruszenia: wielopoziomowe uwierzytelnianie, autoryzacja ról, uwierzytelnianie oparte na hasłach, biometria, tokeny.

Rola eksperta: Ekspert wyjaśni procesy uwierzytelniania i autoryzacji, przedstawi przykłady zastosowania oraz opowie o korzyściach z uwierzytelniania wielopoziomowego.

Grupa 3: Zarządzanie hasłami

Zadanie grupy: Omówienie, jakie są najlepsze praktyki zarządzania hasłami, jak przechowywać hasła w bezpieczny sposób oraz dlaczego warto korzystać z menedżerów haseł.

Punkty do poruszenia: zasady tworzenia bezpiecznych haseł, zasady przechowywania i szyfrowania haseł, znaczenie menedżerów haseł, ograniczenia hasłowe.

Rola eksperta: Ekspert przedstawi zasady bezpiecznego przechowywania haseł, opowie o technologiach szyfrowania haseł oraz przedstawi przykłady z rynku.

Grupa 4: Ochrona danych podczas transmisji

Zadanie grupy: Omówienie sposobów zabezpieczania danych podczas przesyłania między użytkownikiem a serwerem, aby zapobiec ich przechwytywaniu.

Punkty do poruszenia: protokoły szyfrowane (SSL/TLS), certyfikaty bezpieczeństwa, zabezpieczenia przed atakami MITM (man-in-the-middle), najlepsze praktyki w zakresie ochrony transmisji.

Rola eksperta: Ekspert opowie o protokołach zabezpieczeń, ich zastosowaniu w ochronie transmisji danych i omówi konkretne rozwiązania, takie jak certyfikaty SSL/TLS.

Każda grupa po przedstawieniu tematu zainicjuje dyskusję, w której inne grupy będą mogły zadawać pytania, dzielić się swoimi uwagami i komentować prezentowane techniki zabezpieczeń.

Dlaczego praca w grupach?

Każda grupa będzie odpowiedzialna za inne zagadnienie bezpieczeństwa, co pozwoli na zapoznanie się z szerokim zakresem technik zabezpieczeń oraz przećwiczenie umiejętności komunikacyjnych i analitycznych. Przed rozpoczęciem zadania, wspólnie z nauczycielem dokonacie losowania tematów.

Etap 1: Wprowadzenie do tematu

• Należy zapoznać się z tematyką WebQuestu, korzystając z podanych źródeł.

• Podstawowe zagadnienia dotyczące bezpieczeństwa aplikacji zostaną omówione i przedyskutowane, aby zapewnić wszystkim uczniom podstawową wiedzę niezbędną do pracy nad projektem.

Etap 2: Praca nad prezentacjami

• Uczniowie zostaną podzieleni na cztery grupy, z których każda otrzyma jedno zagadnienie do opracowania.

• Grupy będą pracować nad przygotowaniem prezentacji, w których uwzględnią podstawowe zasady i praktyczne wskazówki dla każdego z tematów.

• Nauczyciel będzie wspomagał uczniów w wyborze odpowiednich źródeł oraz informacji.

Etap 3: Dyskusja i prezentacja wyników

• Każda grupa zaprezentuje swoje wyniki na forum klasy, przedstawiając kluczowe informacje, zalety oraz wyzwania związane z danym aspektem bezpieczeństwa aplikacji.

• Po każdej prezentacji zostanie przeprowadzona dyskusja, w trakcie której omówione zostaną najważniejsze techniki oraz rozwiązania, które mogą przynieść największe korzyści w zakresie ochrony danych użytkowników.

Etap 4: Ewaluacja

• Nauczyciel oceni zaangażowanie poszczególnych grup oraz jakość przygotowanych prezentacji, uwzględniając sposób przekazania informacji, zrozumienie tematu oraz aktywność podczas dyskusji.

• Ocena będzie oparta na kryteriach obejmujących wartość merytoryczną, umiejętność współpracy w grupie oraz aktywne uczestnictwo w prezentacjach i dyskusji.

Etapy pracy i czas

2h

Etap 1

4h

Etap 2

4h

Etap 3

2h

Etap 4

Liczba punktów	2	3	4
Zawartość merytoryczna pracy	Praca słaba pod względem merytorycznym. Brakujące elementy.	Praca dobra pod względem merytorycznym. Brak lub niewielkie błędy.	Praca bardzo dobra pod względem merytorycznym. Poprawne, ciekawe treści.
Prezentacja pracy	• Prezentacja mało czytelna, pobieżna, nie budząca zainteresowania. • Brak udziału w dyskusji.	• Prezentacja czytelna, dobra, interesująca. • Uczeń angażuje się w dyskusję ale jego wkład jest mały.	• Prezentacja ładna, wyczerpująca, budząca zainteresowanie. • Uczeń angażuje się w dyskusję i jego wkład jest duży.
Wrażenia estetyczne	• Praca mało czytelna, nieestetyczna, niestarannie wykonana. • Złe rozplanowanie elementów na stronie.	• Praca czytelna, estetyczna, staranna. • Dobre rozplanowanie elementów na stronie.	• Praca estetyczna, czytelna, przejrzysta, zachęcająca do zapoznania się z nią, bardzo staranna. Atrakcyjna pod względem graficznym. • Dobre rozplanowanie elementów na stronie. Praca wyróżniająca się.
Praca w grupie	Brak zaangażowania wszystkich członków grupy w pracę i kreatywną współpracę.	Dobre zaangażowanie w pracę wszystkich członków grupy. Umiejętność współpracy na zadawalającym poziomie.	Pełne zaangażowanie w pracę wszystkich członków grupy. Wzajemne motywowanie się do pracy. Umiejętność współpracy w grupie na wysokim poziomie.

1. Przed przystąpieniem do realizacji WebQuestu nauczyciel powinien zapoznać się z jego treścią i ocenić, czy przed przekazaniem go uczniom do realizacji istnieje konieczność uzupełnienia wiedzy bazowej uczniów niezbędnej do jego płynnego zrealizowania.

2. Nauczyciel powinien dokładnie przeanalizować treści WebQuest wspólnie z uczniami aby mieć pewność iż zrozumieli oni jego przedmiot.

3. Nauczyciel przed przekazaniem WebQuestu do realizacji powinien zapoznać się ze źródłami i w razie potrzeby dokonać ich selekcji, ograniczenia lub rozszerzenia o dodatkowe (aktualne) linki.

4. Podział na grupy może być dokonany według dowolnych kryteriów, np. ze względu na możliwości poznawcze uczniów, ich umiejętności, zainteresowania czy predyspozycje tak aby „równo” rozłożyć siły w poszczególnych grupach.

5. Czas na realizację WebQuestu powinien być dostosowany do możliwości uczniów. Nie jest z góry narzucony. Należy go ustalać indywidualnie w odniesieniu do możliwości konkretnej grupy uczniów.

6. Nauczyciel powinien służyć pomocą na każdym etapie realizacji WebQuestu-konsultować postęp prac/jakość współpracy.

7. Uczniom należy zapewnić dostęp do komputera i internetu, rekomenduje się pracę przy komputerze z dużym ekranem (tworzenie klimatu pracy grupowej).

8. Rekomenduje się realizację WebQuestu również wśród uczniów kształcących się na innych profilach edukacji technicznej/zawodowej niż tematyka niniejszego WebQuestu. Dzięki temu uczniowie będą mogli poszerzyć swoją wiedzą z innych dziedzin technicznych/zawodowych oraz rozwinąć się w nowej dziedzinie.

9. Wyciągając wnioski ze zrealizowanego WebQuestu nauczyciel powinien w szczególności skupić się na analizie umiejętnościach miękkich (m.in. praca w grupie, negocjacje, współpraca, umiejętność prezentacji stanowiska) jakie nabył każdy z uczniów biorących udział w realizacji WebQuestu z podkreśleniem że umiejętności te będą bardzo przydatne w ich późniejszej pracy zawodowej (może to być też element dodatkowej oceny).

10.Sugeruje się upowszechniać efekty pracy (rezultaty/produkty) osiągnięte przez uczniów dzięki realizacji WebQuestu na terenie placówki edukacyjnej jako „best practices” zachęcając tym samym innych uczniów/nauczycieli do pracy z wykorzystaniem tej innowacyjnej metody nauczania.