Fórum Root.cz

Hlavní témata => Vývoj => Téma založeno: Xanthin 05. 05. 2019, 16:47:22

Název: Zabezpečená web aplikace
Přispěvatel: Xanthin 05. 05. 2019, 16:47:22
Zdravím,
jak by dle vás měla vypadat "zabezpečená webová aplikace"? Jaké technologie by měla používat/metody/způsoby zabezpečení? Ideálně k nynějšímu standartu.

Díky
Název: Re:Zabezpečená web aplikace
Přispěvatel: Kommunistická strana Evropy 05. 05. 2019, 17:39:28
To dost závisí na tom, co by taková aplikace měla dělat... Ale platí základní principy minimálních práv, solení hesel, RO přístupu ke kódu, oddělení kódu a dat etc.
Název: Re:Zabezpečená web aplikace
Přispěvatel: Xanthin 06. 05. 2019, 10:53:13
Děkuji. Jednalo by se o aplikaci, kde se nebude pracovat s kriticky citlivými údaji jako číslo karty atd. Čili běžné záležitosti - uživatel se přihlásí a tam bude moci něco dělat...

čili k tomu ,co jste psal, tak tyto věci by asi mohli být tytro věci:
-https
-možná OAuth2 ?
Název: Re:Zabezpečená web aplikace
Přispěvatel: alibab 06. 05. 2019, 22:24:19
Dopĺňam zopár ďalších odporúčaní, skôr pre inšpiráciu. Nezabudnúť na to, že aby aplikácia ostala bezpečná, treba sa o ňu pravidelne starať.

- inšpirovať sa odporúčaniami OWASP pri vývoji
- správne použité SSL
- zabezpečené admin rozhranie (viacfaktorová autorizácia, VPN)
- používať IPS, WAF
- pripravená DDoS ochrana
- sledovať logy, alarmy, anomálie
- pravidelne patchovať
- nastaviť rate limity - na počty prihlásení, requestov, objem dát, ... a logovať a reportovať prekročenia
- kryptovať backupy a pravidelne ich testovať
- vyhnúť sa zdieľanému webhostingu
- nezabudnúť paranoidne chrániť admin prístupy k správe domény a certifikačnej autorite
- dávať pozor aby produkčné heslá, privátne kľúče a zákaznícke dáta neunikli cez developerské nástroje - ideálne držať developerov čo najďalej od produkcie :-)
- mať všade zverejnenú a funkčnú abuse mail adresu