Является ли Zend Framework / Server на AWS безопасной опцией для аутентификации / авторизации веб-приложений

Question

В настоящее время работаю над довольно простым размещенным PHP-приложением, которое я сейчас перерабатываю в Zend на AWS. У меня нет никакого опыта в области безопасности, поэтому я делегирую сторону 'sysadmin' Amazon / Zend. Разумно ли предположить, что я могу положиться на аутентификацию и авторизацию Zend для моего веб-приложения, которое будет развернуто в коммерческом контексте? Я не хочу помещать что-то, что будет уязвимо для атаки входа в систему.

Answer 1

Ответ на ваш вопрос в заголовке будет простым да, потому что они предлагают варианты для обеспечения безопасности вашего веб-приложения. Но когда я читаю текст, я беспокоюсь о ваших ожиданиях, потому что безопасные варианты - это просто варианты. Вы не можете делегировать sysadmin ни одному из них.

Проверка подлинности и контроль доступа Zend - это незакрепленные компоненты, ожидающие вашего использования, а AWS, по их собственным словам, является «платформой веб-сервисов инфраструктуры в облаке», то есть просто сетью. Только из-за их существования вы не можете рассчитывать на безопасное веб-приложение. AWS позволит вам безопасно разместить ваш веб-сервер и веб-приложение. С другой стороны, с Zend-аутентификацией и ACL у вас есть отличные классы для простой настройки аутентификации, но для обоих вы должны знать, как их использовать и как правильно реализовать их в вашем веб-приложении.

К сожалению, вы говорите, что у вас нет реальных знаний в области безопасности. Если вы не знаете, как реализовать аутентификацию - в любой форме или стиле - тогда в вашем веб-приложении будет больше дыр, чем в швейцарском сыре.

Answer 2

Не думайте, что у вас есть причины беспокоиться о компонентах Zend Framework, обрабатывающих аутентификацию и авторизацию.

Вы можете легко использовать другие компоненты, которым вы доверяете, в своем Zend Framework Deployment, если вы считаете, что компоненты ZF не подходят для развертывания в коммерческом контексте.