私は、ユーザーが銀行、クレジットカード、その他の「機密情報」を閲覧/入力できるウェブサイトを開発しています。安全なウェブサイトを構築する
私は通信にHTTPSを使用する必要があることを知っていますが、それ以上のことは、他に何が必要なのか分かりません。
クライアントとサーバーの間で送信されるデータを暗号化するのが理想的ですが、HTTPSプロトコルを使用してこれが既に行われているかどうかはわかりません。
このようなWebアプリケーションを開発するためのベストプラクティスに関する追加情報の入手先に関するアイデアはありますか?
追加情報:私はLAMPスタックを使用してこのウェブサイトを開発/展開します。
ゼロからすべてを開発する必要があるかどうか、または既存の信頼できるショップまたはフレームワークを構築できるかどうかを確認してください。それを最初からやっていくときには、(暗号化、セッション管理、支払いなど...)間違ったやり方をすることができる部分がたくさんあります。
多くの要件を処理したいデータが存在するほど重要です(例:http://www.pcicomplianceguide.org、特にhttp://www.pcicomplianceguide.org/security-tips-20081030-web-application-security.phpを参照)。法律の専門家と話をしなければならないのは、「どのようなデータ」に大きく依存し、ワークフローでそれらをどのように処理するかということです。
Webセキュリティの重要な側面について多くのヒントを持つThe Open Web Application Security Project(OWASP)を見てください。http://www.owasp.org/index.php/Category:OWASP_Guide_Projectをご覧ください。
私はhttp://oreilly.com/catalog/9780596006709のような本を推奨していますが、あなた自身のサーバーを所有していて、共有ホスティング環境に依存していない可能性があるので、独自のサーバー環境も強化する必要があります。 SSLで十分ではありません。ファイルのアクセス許可、証明書管理、オペレーティングシステムの更新などを処理する必要があります。
はい、クレジットカードデータを取り扱っている場合、取得銀行はPCIコンプライアンスと少なくとも四半期ごとのASV脆弱性評価に従事するよう要求します。これを避けることができれば、本当にしたいです。 – Cheekysoft
信頼できる当局によって認証された設定、コード、ストレージ、会社全体を取得し、あなたのサイトで目に見えるものであることを証明できることを確認してください。
でこれをお試しください。ポスターはPHP/Pythonアプリケーションを保護するベストプラクティスについて質問し、あなたは彼に証明書を取得し、認定代理店のロゴを自分のサイトに置くように指示しますか?サイトをより安全にするものではなく、ベストプラクティスではありません。最終的には、セキュリティ設計が成功したかどうかを確認する最後の良いステップかもしれません。 –
@moontear:ポスターにセキュリティ設計はありません。彼はそれを求めます。 – rik
どのLAMPのPを使用していますか? –
1つのWebサイトがPHP(Symfonyフレームワーク)を使用していますが、もう1つはPython(django)を使用します – skyeagle
http://security.stackexchange.com/ – AviD