Come posso impedire ai programmatori di acquisire dati inseriti dagli utenti?

10

Sto sviluppando un'applicazione web con un strong focus sulla sicurezza. Quali misure possono essere adottate per impedire a coloro che lavorano sull'applicazione (programmatori, amministratori di database, personale addetto all'assicurazione della qualità) di acquisire valori immessi dall'utente che dovrebbero essere ben protetti, come password, numeri di previdenza sociale e così via?

    
posta Peter Smith 29.01.2012 - 01:03
fonte

2 risposte

22

Questo è abbastanza semplice. Le banche fanno tutto il tempo.

Hai tre gruppi di persone coinvolte. Questi sono gruppi di sicurezza. Con autorizzazioni distinte.

Gli sviluppatori non possono assegnare autorizzazioni di sicurezza e non possono vedere i dati di produzione.

Gli operatori non possono assegnare autorizzazioni di sicurezza e non possono creare software.

I responsabili della sicurezza che impostano le autorizzazioni e non possono né creare software né utilizzare il software.

Gli sviluppatori creano software. Gli operatori lo installano e gestiscono. I responsabili della sicurezza assicurano che i due gruppi siano tenuti separati.

    
risposta data 29.01.2012 - 01:21
fonte
2

I programmatori non hanno accesso ai server di produzione. Ma qualcuno deve avere accesso. Non c'è modo di aggirarlo. E c'è sempre la possibilità che qualcuno possa impazzire e abusare del loro accesso.

I dati sottoposti a hash / salted sono teoricamente sicuri anche dalle persone che hanno accesso completo per visualizzarli. Ma la maggior parte dei dati non è appropriata per l'hashing.

    
risposta data 29.01.2012 - 04:10
fonte

Leggi altre domande sui tag