создание надежной веб-безопасности

Question

Я видел много сайтов, которые утверждают, что имеют шифрование безопасности банковского уровня. если их веб-сайты созданы с использованием php, какие другие формы безопасности могут существовать, кроме использования mysql_real_escape_string и 128-битного ssl-шифрования?

Answer 1

Когда компания рекламирует «государственную силу» или «банковский класс», она, вероятно, говорит о криптографическом стандарте FIPS 140 . Чаще всего криптография не является проблемой в защите системы реального мира.

Например, этот USB-ключ чрезвычайно уязвим, и он использовал точку продажи "FIPS 140" с AES256! 128-битное число является огромным, и оно AES128 соответствует FIPS 140. Наличие большего количества бит - это просто соревнование по измерению пениса. Правительство США вряд ли является примером для подражания, потому что Twitter может взломать их крипто , и это не из-за размера ключа шифра.

Answer 2

Банковский сертификат безопасности

[так в оригинале] Я думаю, что пробежал бы милю, если бы увидел это на сайте!

А если серьезно ... получить сертификат SSL легко, а те, что используются банками для данных клиентов, ничем не отличаются от тех, что где-либо еще (за исключением того, что обычно они подписываются на гораздо большую сумму).

Однако финансовые учреждения в Европе и Северной Америке имеют очень специфические ограничения на то, как они управляют и шифруют данные (например, BS7799), которые определяют не только технические стандарты, но и методы работы. Заявление о том, что у вас SSL, а также банки, является очень частичной истиной - и на самом деле это просто маркетинговый ход.

Но чтобы ответить на ваш вопрос ... который, кажется, кипит; вплоть до «Как сделать мой сайт безопасным?», наличие сертификата и использование mysql_real_escape_string () едва затрагивают поверхность безопасности. Правильный ответ заполнил бы несколько книг. Вы могли бы начать с чтения того, что Штеффан Эссер и Крис Шиффлет опубликовали в Интернете.

С

Answer 3

Многие компании считают (или пытаются убедить своих клиентов), что они в безопасности, потому что они используют сильную криптографию. Если злоумышленник хочет взломать свой сайт , последнее, что он будет делать, это попытается взломать крипто . Они будут искать низко висящие фрукты, такие как SQL-инъекция, переполнение буфера и CSRF. Большинство уязвимостей не из-за слабой криптографии, а потому, что базовый принцип безопасности никогда не доверяет пользовательскому вводу не выполняется Не поймите меня неправильно, криптография - это важный компонент, но его использование не означает, что вы в безопасности.

Хорошее место для начала - взглянуть на множество ресурсов, доступных для защиты веб-сайтов. Вот некоторые из них:

• Эксплуатация и защита веб-приложений
• Веб-безопасность: вы часть проблемы?
• OWASP

Answer 4

Фундаментальное правило безопасной аутентификации: есть три вида вещей, которые нужно проверить - что-то, что ты знаешь, что-то, что у тебя есть, что-то, кем ты являешься. Вы должны использовать по крайней мере два из них. (Банки обычно используют пароль и смарт-карту или мобильный телефон.)

Что касается «шифрования безопасности банковского уровня», я бы предположил, что на рынке высказываются слова о том, что они используют SSL, поскольку соединение клиент-сервер является единственным местом, где требуется шифрование. (Вы должны хешировать и солить свои пароли, но это не совсем шифрование.)

Answer 5

Подготовленные заявления будут хорошим началом. Большое улучшение по сравнению с беспокойством по поводу экранирования строк, которое не на 100% надежно.

http://php.net/manual/en/pdo.prepared-statements.php

Кроме того, эти утверждения, хотя, вероятно, являются фактическими, являются своего рода глупыми - предназначены для людей, которые не понимают безопасность сайта. Вот несколько примеров других форм безопасности, которые не имеют ничего общего с «шифрованием на уровне банка»

• Строгое соблюдение политики надежных паролей
• Обновление программного обеспечения вашего сервера
• Прежде всего, правильно настроить сервер
• Очистка отправленного пользователем контента для всех попыток XSS

В этот список можно добавить еще много всего. Мне еще многое предстоит узнать о безопасности, но я надеюсь, что это поможет вам начать.