Zabezpečená web aplikace

Zabezpečená web aplikace
« kdy: 05. 05. 2019, 16:47:22 »
Zdravím,
jak by dle vás měla vypadat "zabezpečená webová aplikace"? Jaké technologie by měla používat/metody/způsoby zabezpečení? Ideálně k nynějšímu standartu.

Díky


Re:Zabezpečená web aplikace
« Odpověď #1 kdy: 05. 05. 2019, 17:39:28 »
To dost závisí na tom, co by taková aplikace měla dělat... Ale platí základní principy minimálních práv, solení hesel, RO přístupu ke kódu, oddělení kódu a dat etc.

Re:Zabezpečená web aplikace
« Odpověď #2 kdy: 06. 05. 2019, 10:53:13 »
Děkuji. Jednalo by se o aplikaci, kde se nebude pracovat s kriticky citlivými údaji jako číslo karty atd. Čili běžné záležitosti - uživatel se přihlásí a tam bude moci něco dělat...

čili k tomu ,co jste psal, tak tyto věci by asi mohli být tytro věci:
-https
-možná OAuth2 ?

Re:Zabezpečená web aplikace
« Odpověď #3 kdy: 06. 05. 2019, 22:24:19 »
Dopĺňam zopár ďalších odporúčaní, skôr pre inšpiráciu. Nezabudnúť na to, že aby aplikácia ostala bezpečná, treba sa o ňu pravidelne starať.

- inšpirovať sa odporúčaniami OWASP pri vývoji
- správne použité SSL
- zabezpečené admin rozhranie (viacfaktorová autorizácia, VPN)
- používať IPS, WAF
- pripravená DDoS ochrana
- sledovať logy, alarmy, anomálie
- pravidelne patchovať
- nastaviť rate limity - na počty prihlásení, requestov, objem dát, ... a logovať a reportovať prekročenia
- kryptovať backupy a pravidelne ich testovať
- vyhnúť sa zdieľanému webhostingu
- nezabudnúť paranoidne chrániť admin prístupy k správe domény a certifikačnej autorite
- dávať pozor aby produkčné heslá, privátne kľúče a zákaznícke dáta neunikli cez developerské nástroje - ideálne držať developerov čo najďalej od produkcie :-)
- mať všade zverejnenú a funkčnú abuse mail adresu