Quali sono le funzionalità di sicurezza più importanti che un CMS basato sul Web dovrebbe offrire? Cos'è vitale? Cosa sarebbe bello avere? Quali caratteristiche dovrebbe il CMS non tentare di fare?
Nota: cerco più funzionalità specifiche che migliorino la sicurezza piuttosto che solo le basi come la convalida dell'input, l'input e output di escape, la protezione XSS, la prevenzione dell'iniezione SQL, la mancata visualizzazione degli errori, ecc.
Se hai bisogno di gestire le password degli utenti, assicurati di non memorizzarle in testo normale e assicurati di salvarle prima.
So che non è ampiamente utilizzato, ma ho sempre pensato che sarebbe una buona funzionalità per un utente poter caricare la sua chiave pubblica PGP in modo che le e-mail generate dal CMS possano essere crittografate. In genere, tutte le password generate che vengono inviate via e-mail devono essere limitate al tempo di utilizzo una tantum (cioè la password consente all'utente di accedere per 24 ore e poi devono cambiare la loro password)
Aggiornato: ieri sera stavo sveglio e per qualche motivo questo argomento mi è tornato in mente. Qualsiasi accesso deve essere Autenticazione Digest HTTP o un accesso basato su modulo con HMAC lato client se SSL non può essere utilizzato. Le azioni di base dell'autenticazione e della password non elaborate sono un no-no!
Leggi altre domande sui tag php web-application appsec
