Progettazione e implementazione di un sistema di pagamenti sicuri con API RESTful

0

Voglio progettare e implementare un sistema di pagamenti (non gestirò pagamenti con carta di credito). Il sistema avrà un'API RESTful. Ho già familiarità con i servizi RESTful e ne ho creati alcuni nel mio tempo.

Tuttavia, questa volta, la sicurezza è di fondamentale importanza e voglio un sistema che sia altrettanto robusto contro gli attacchi esterni, come qualsiasi altra cosa là fuori (ad es. Paypal).

Per come la vedo io, ci sono due punti di attacco:

The physical machines (servers) and the network they reside on
Attacks via the exposed RESTful API (man in the middle attacks, snooping etc).

Paypal, che è un modello di ciò che voglio replicare, fornisce un'API RESTful, usando OAuth ecc, quindi so che è possibile fornire un'API RESTFul sicura ai dati sensibili.

Quindi la mia domanda si decompone fondamentalmente nelle seguenti due domande:

A. Quali tecnologie / pratiche sono utilizzate da aziende come Paypal per garantire che le loro macchine non siano compromesse o compromesse?

B. OAuth è la strada da percorrere per presentare un'interfaccia sicura al mondo? - o può essere migliorato?

    
posta Homunculus Reticulli 22.07.2014 - 13:01
fonte

1 risposta

-1

Potresti pensare che il tuo progetto differisce da un buon sistema di gestione dei contenuti. Ma in realtà non lo è. Dovresti rafforzare ciò che è fondamentale per ogni progetto software: test e alta qualità del codice. La sicurezza non è solo soggetta all'API stessa ma al software sottostante.

L'uso di un linguaggio di programmazione che forza un sistema di tipo statico è un buon inizio. Quindi eseguire un test unitario e funzionale eccessivo. Soprattutto cosa succede se il cliente non si comporta nel modo previsto. Quindi puoi fare un pentesting.

Queste strategie si applicano a un'applicazione ad alta sicurezza e ad una piccola app come un CMS. Vorrei anche suggerire un linguaggio come Java con un compilatore. Quindi, se si introducono incongruenze di codice, si interromperà il processo di compilazione.

Il server stesso sarà probabilmente protetto come ogni server più grande. Ma non è la mia migliore esperienza.

Vedi? Niente di nuovo e di fantasia qui ...

    
risposta data 22.07.2014 - 14:51
fonte

Leggi altre domande sui tag