Разработка безопасного сайта - PullRequest
Новая
       11

Разработка безопасного сайта

0 голосов
/ 29 ноября 2010

Я занимаюсь разработкой веб-сайта, который позволяет пользователю просматривать / вводить свои банковские, кредитные карты и другую «конфиденциальную» информацию.

Я знаю, что для связи мне нужно использовать HTTPS, но сверх тогочто, я не уверен, что еще нужно сделать.

В идеале я хотел бы зашифровать данные, передаваемые между клиентом и сервером, но я не знаю, сделано ли это уже с помощью HTTPпротокол.

Любые идеи о том, где можно получить дополнительную информацию о передовых методах разработки такого веб-приложения?

Дополнительная информация: я буду разрабатывать / развертывать этот веб-сайт с использованием стека LAMP.

Ответы [ 2 ]

3 голосов
/ 29 ноября 2010

  1. Проверьте, нужно ли вам разрабатывать все с нуля или вы можете опираться на существующий надежный магазин или платформу.Есть так много частей, которые можно сделать неправильно (шифрование, управление сеансом, оплата, ...), когда вы делаете это с нуля.

  2. Чем важнее данные, которые вы хотите обработатьчем больше требований (см., например, http://www.pcicomplianceguide.org, особенно http://www.pcicomplianceguide.org/security-tips-20081030-web-application-security.php). Возможно, вам придется поговорить с юристами, потому что это сильно зависит от того, «какие данные» и как вы их обрабатываете в своем рабочем процессе.

  3. Взгляните на http://www.owasp.org/index.php/Category:OWASP_Guide_Project - проект по обеспечению безопасности открытых веб-приложений (OWASP) со множеством подсказок о важных аспектах веб-безопасности.

  4. Я не рекомендую рекомендовать такие книги, как http://oreilly.com/catalog/9780596006709, но, вероятно, у вас будет собственный сервер, и вы не будете полагаться на среду общего хостинга, поэтому вам придется ужесточать и собственную серверную среду. SSL недостаточно.Вы должны позаботиться о правах доступа к файлам, управлении сертификацией, обновлениях операционной системы и т. Д.

0 голосов
/ 29 ноября 2010

Получите все ваши настройки, код, хранилище, компанию, сертифицированную авторитетным органом, и сделайте так, чтобы вы были сертифицированы и видны на вашем сайте.

...