Мой план защиты веб-приложения: есть ли дыры?

Question

Я разработал приложение отслеживания проекта CodeIgniter для клиента, который живет по общедоступному URL-адресу, но используется в частном порядке.Он включает в себя простой REST API, используемый исключительно для виджета Dashboard и приложения панели меню Какао, хотя он будет расширяться позже.

Первоначально разработанное для небольшой команды, приложение будет использоваться более широко в рамках (большого) Компания.Мой план по расширению и обеспечению безопасности ...

1. Оцените потребности в трафике, использование ресурсов проекта и масштабируйте хостинг соответственно.
2. Положитесь исключительно на HTTPS и приобретите достойный сертификат SSL.
3. Требуется проверка подлинности для REST API.
4. Активно отслеживать злоупотребления и иметь черный (или несколько) список на месте.

Существуют ли очевидные проблемы, которые необходимобыть адресованы или лучшие практики для частного / публичного приложения, такого как это?

Answer 1

Это довольно широкий вопрос. Есть несколько сложных аспектов.

SSL это хорошо; подумайте о включении защиты CSFR CI

Заблокируйте свой сервер. Закройте порты, такие как электронная почта и FTP, если они вам не нужны. Google для учебников или задать конкретные вопросы, основанные на вашей ОС.

Отличное руководство по аутентификации на основе форм: Полное руководство по аутентификации веб-сайтов на основе форм

Убедитесь, что ваши разрешения соответствуют вашим требованиям. например держать личные вещи в тайне. Разработать политику предоставления и отзыва доступа.