Quali funzionalità di sicurezza dovrebbero essere presenti in ogni CMS basato sul Web?

10

Quali sono le funzionalità di sicurezza più importanti che un CMS basato sul Web dovrebbe offrire? Cos'è vitale? Cosa sarebbe bello avere? Quali caratteristiche dovrebbe il CMS non tentare di fare?

Nota: cerco più funzionalità specifiche che migliorino la sicurezza piuttosto che solo le basi come la convalida dell'input, l'input e output di escape, la protezione XSS, la prevenzione dell'iniezione SQL, la mancata visualizzazione degli errori, ecc.

    
posta VirtuosiMedia 13.11.2010 - 20:41
fonte

3 risposte

5
risposta data 13.11.2010 - 21:02
fonte
5

Se hai bisogno di gestire le password degli utenti, assicurati di non memorizzarle in testo normale e assicurati di salvarle prima.

    
risposta data 14.11.2010 - 15:24
fonte
2

So che non è ampiamente utilizzato, ma ho sempre pensato che sarebbe una buona funzionalità per un utente poter caricare la sua chiave pubblica PGP in modo che le e-mail generate dal CMS possano essere crittografate. In genere, tutte le password generate che vengono inviate via e-mail devono essere limitate al tempo di utilizzo una tantum (cioè la password consente all'utente di accedere per 24 ore e poi devono cambiare la loro password)

Aggiornato: ieri sera stavo sveglio e per qualche motivo questo argomento mi è tornato in mente. Qualsiasi accesso deve essere Autenticazione Digest HTTP o un accesso basato su modulo con HMAC lato client se SSL non può essere utilizzato. Le azioni di base dell'autenticazione e della password non elaborate sono un no-no!

    
risposta data 14.11.2010 - 00:43
fonte

Leggi altre domande sui tag