Sicurezza dell'applicazione Web: serve un controllo a 2 fasi?

3

(Questo è il miglior forum per questo tipo di domanda?)

Sto scrivendo un'applicazione web che consente agli utenti autorizzati di accedere ed eseguire varie attività, a seconda del ruolo o dei ruoli di sicurezza che sono stati assegnati.

Suppongo che per impedire agli utenti di eseguire attività che i loro ruoli non consentono, ciò dovrebbe probabilmente comportare due fasi principali:

  1. Presenta pagine web che contengono solo le opzioni (menu, pagine, pulsanti, campi, ecc.) a cui l'utente deve poter accedere, sulle pagine web. (Questo funziona praticamente già.)
  2. Nel caso in cui un utente provi un po 'di hacking (ad esempio pubblicando campi / valori che la loro pagina Web non consente loro di pubblicare), controlla due volte tutte le azioni prima di elaborarle. (Mi sembra abbastanza complesso in alcune aree, per me.)

Questa strategia sembra appropriata / normale / necessaria? Qualche suggerimento o link a pagine che discutono di questo, prima che io possa passare un sacco di tempo a percorrere la pista sbagliata?

Sto usando Perl / MySQL su Linux, anche se i principi potrebbero essere generici.

Grazie.

    
posta Terry 12.03.2015 - 06:14
fonte

1 risposta

3

Sei sulla strada giusta, ma manca un punto chiave: Tutte le convalide / autenticazione devono essere eseguite (o ricontrollate) dal server , perché non puoi fidarti del client. Forse l'hai già avuto in mente, ma vale la pena dichiararlo esplicitamente. E sì, devi assolutamente fare sia l'1 che il 2.

In linea di principio, la logica per 1 e 2 dovrebbe essere esattamente la stessa. Un controllo di tipo 1 determina se viene mostrato un elemento dell'interfaccia utente e un controllo di tipo 2 determina se un comando viene elaborato, ma i controlli effettivi devono essere identici. Quindi sono molto curioso perché pensi che 2 sarebbe molto più complesso; forse questo indica un problema di architettura da qualche parte.

    
risposta data 12.03.2015 - 08:12
fonte

Leggi altre domande sui tag