Безопасны ли django sessisons для критически важных форм регистрации?

Question

Какова наилучшая практика при разработке критически важной формы регистрации, когда речь идет об использовании сессий на основе django?

1. Считается ли нормальным требовать от пользователя принимать сессионный cookie?
2. Есть ли какие-либо советы, чтобы максимально увеличить процент пользователей, которые могут принять сеансовый файл cookie?

Answer 1

Мы использовали Django для этого почти 3 года, и у нас было ноль проблем. Конечно, вы хотите начинать с формы на странице HTTPS, а не просто отправлять в HTTPS - это заставляет людей чувствовать себя безопаснее.

Django не играет в игру «cookie в URL», как некоторые платформы PHP, поэтому, если пользователь не принимает cookie, он не будет работать.

Не забывайте, что как только у вас есть все эти конфиденциальные данные, вы должны обрабатывать их правильно. Мы храним только последние 4 цифры в онлайн-базе данных, и это только для целей проверки. Все остальное управляется через заднее соединение с отдельной компанией, которая занимается управлением подписками для нас.

Answer 2

Не пытайтесь иметь дело с кредитными картами в вашем собственном приложении. Есть все виды проблем безопасности. Вручите одну из фирм, которые специализируются в этой области - я успешно использовал RBS Worldpay, но есть множество других, и все они предоставляют хорошие API.