Come sei venuto a conoscenza della sicurezza nel tuo sviluppo web?

Naviga le tue risposte
3

Ho sviluppato siti web intranet e siti web pubblici senza grossi problemi di sicurezza. Non c'era nulla da rubare e niente da guadagnare. Niente da attirare le persone per cercare di raggiungere il sito dietro la scena. Non parlo di login e amp; password ma altro sulla sicurezza contro gli attacchi degli utenti.

Quindi, qual è il modo migliore per imparare a proteggere l'accesso a un sito, per conoscere errori o debolezze comuni a cui pensare? Devo trovare una struttura relativa alla lingua che uso e contare su di essa o c'è una fonte (libro, sito web, ...) in cui posso trovare informazioni sul design generale e trucchi?

    
posta Pierre Watelet 10.12.2010 - 13:19
fonte

4 risposte

4

Se stai facendo sviluppo web con Java, considera di leggere il framework Spring Security ( ecco un buon tutorial ). È basato su Acegi Security che è stato assorbito dal Framework di primavera. Scoprirai rapidamente i principi chiave della protezione di un'applicazione web:

  1. Non fidarti mai del client (convalidare tutto)
  2. HTTPS è tuo amico
  3. Le password di hashing sono una buona cosa
  4. La sicurezza è un aspetto del tuo codice (implementato tramite filtri e intercettori piuttosto che direttamente all'interno della tua logica aziendale)

Aneddoto

Ricordo un cliente con cui lavoravo che aveva impiegato una società di sicurezza per eseguire test di penetrazione sul proprio codice. Hanno fallito male. Un rapido refactoring per utilizzare Spring Security e Spring MVC invece del loro approccio interno e tutti i loro problemi sono svaniti.

Niente è mai perfetto, ma puoi rendere così difficile entrare nella tua applicazione che i kiddie degli script abbandonano solo i cracker dedicati. E per loro, avrai bisogno di una consulenza professionale.

    
risposta data 10.12.2010 - 13:47
fonte
1

Non c'è MAI nulla da rubare. Anche se i dati sul tuo sito sono inutili, il tempo di elaborazione e la larghezza di banda sono ancora utili per gli operatori di botnet DDOS. Se stai utilizzando un computer su Internet e sei interessato a essere un buon cittadino, devi essere interessato alla sicurezza.

    
risposta data 10.12.2010 - 14:01
fonte
1

Pianifica la sicurezza del tuo progetto prima di iniziare la codifica, non dopo.
Inoltre ci sono ottime risposte su SO su molte domande simili: In questo modo e questo

    
risposta data 10.12.2010 - 14:02
fonte
0

Puoi imparare da solo, ma un quadro ti aiuterà a evitare errori comuni e ad essere molto più sicuro.

    
risposta data 10.12.2010 - 13:34
fonte

Leggi altre domande sui tag

Pattern di fabbrica o modello di builder? quale è adatto per leggere i dati del modello a elementi finiti da un file di testo? Sta usando -1 come ID speciale una buona idea in SQL?