Я искал по всему Интернету, пытаясь получить руководство по технике безопасности для действительно защищенного сайта, такого как сайт онлайн-банкинга, и ничего не нашел.
Меня интересует, какие практики вы используете в следующих областях:
- Связь: обязательно с использованием SSL... любые дополнительные советы по защите от атак типа "человек посередине".
- Аутентификация: имя пользователя + пароль + капча + ограничения по времени + принудительное применение регулярных изменений.
- Навигация между страницами: есть ли такая вещь?
- Предотвращение XSS и XSRF: уже в платформе.
- Шифровать конфиденциальные данные на клиенте и сервере: что именно? должны ли быть конфиденциальные данные о клиенте?
- Тонкая настройка авторизации: показать/скрыть + выполнить команды + разрешения.
- Аудит? какие ? и чем это отличается от регистрации.
- Безопасность на уровне страницы: предотвращение манипуляций с содержимым страницы (нам это действительно нужно?)
И как обнаружить попытки проникновения? Мониторинг IP-адресов, блокировка определенных учетных записей ...? Есть ли способ протестировать или имитировать угрозы?
Encrypt senstive data on client and server ??!
иany extra tips?
, вам, вероятно, следует привлечь помощь извне. - person tster   schedule 14.10.2010