私は、ユーザーがリモートからログオンしてWebインターフェイス経由で使用できるアプリケーションを設計中です。Webインターフェイスで金融アプリケーションを保護する
セキュリティは非常に重要です(クレジットカードと個人のバンキングのタイプの情報と考えています)。そのため、私はセキュリティ面を厳しく守らなければなりません。
私は、伝統的な(ステートフルな)WebページとWebサービスを介してアプリケーション機能を提供するつもりです。
私のウェブアプリケーションフレームワークとしてweb2pyを使用する予定です。
私はすべての分野をカバーしていることを確認するためのガイドラインのリストはありますか?
のワンストップショッピング:https://www.owasp.org/index.php/Main_Page
はそれを読み、心にすべての提案を取ります。
あなたは、少なくとも以下の点を考慮する必要があります
認証。ユーザーに何らかの方法でログオンさせるどの認証方法を使用するかは、提供する目的によって異なります。
プライバシー送信した情報が自分やアプリケーションにのみ表示され、盗聴者には表示されないようにします。
最も簡単なケースでは、SSLは上記の両方を処理できます。暗号化は常に提供されますが、認証に使用することも、少なくとも簡単な認証メカニズムをより安全にすることもできます。見るべきことの1つはSSLのセキュリティです。 sslは、ユーザーがすでに雇用主などと信頼関係を持っている場合には真剣に攻撃者に受け入れられます。ユーザーは、効果的に真であるsslゲートウェイをインストールすることができます。
これは実際に使用している技術に依存します。
これは非常に未解決の質問です。法的にはこれはめったに使用されません(決して?)ので、それは依存しています。
あなたの最も大きな脅威は、Webアプリケーション層に脆弱性を導入するサーバーサイドのWebアプリケーションコードです。これはチェックリストではありません。スターターにとっては、OWASP Top Tenのアイテムを100%快適に使用し、安全にコーディングする方法を理解していることを確認してください。 Webアプリケーションの脆弱性を熟知していない場合は、Web層のレビューに役立つ人を雇うことを強く検討してください。少なくとも、セキュリティテスト会社に、ある種の侵入テストを実行するように連絡することをお勧めします。好ましくはコードレビューコンポーネントを使用します。
クレジットカードのデータで何かをする場合は、承認されたスキャニングベンダーから少なくとも四半期ごとにリモートテストが必要なPCI DSSに準拠する必要があります。