那些遇到过的问题

Web应用程序的安全性

tim*_*hit 7 security ssl web-applications ruby-on-rails

我正在开发一个Web应用程序,我们正准备启动它.因为它会为用户保存敏感数据,所以我希望它尽可能安全.这是我们目前正在做的事情清单......

  • 在Heroku上运行应用程序(Ruby on Rails)
  • 站点使用256 SSL加密(强制SSL已打开)
  • Cookie已加密,我们通过了Firesheep测试
  • 他们的密码和数据库中的所有内容都是加密的一种方式..因此,即使有人访问数据库,也没用.
  • 我们不会在源代码中公开存储任何密钥或密码,而是使用Config Vars

除此之外,我们应该/可以做什么.我们正在考虑McAfee的网站扫描,但他们每年报价为2,500美元.我不确定这是值得的.

有没有人有任何建议?

Jos*_*des 2

在排除了常见的嫌疑(XSS、SQL 注入、批量分配等)之后,客户端才是大多数问题的根源,而这一点经常被忽视。我不知道您的网站是关于什么的,但是告诉您的用户他们不应该点击他们没有明确请求的电子邮件中的链接之类的事情通常会带来最高的性价比。

此致,

——J·费尔南德斯

归档时间:

查看次数:

1363 次

最近记录:

8 年,4 月 前
相关归档
群集和负载平衡之间的区别? 43
Angular.js Backbone.js和其他MV*图案js库? 30
动态路径助手轨道 23
Rails:验证has_many关联中parent_id的存在 21
capistrano部署中没有此类文件或目录 21
如何在Rails中为ckeditor添加皮肤? 11
黑客已经为我的PHP文件添加了内容 6
是否可以使用pyOpenSSL设置subjectAltName? 3
创建"私有"JSON对象? 2
在 React Native 中为 Android 4.X 启用 TLS 1.1/1.2 2
难疑归档
Python有三元条件运算符吗? 5591
在JavaScript中验证十进制数 - IsNumeric() 2318
ListView中的图像延迟加载 1881
如何在Vim中进行不区分大小写的搜索 1579
从客户端检测到潜在危险的Request.Form值 1437
如何从GET参数中获取值? 1255
在Android Studio中重命名包 1252
如何在JavaScript中创建二维数组? 1081
参考 - 这个错误在PHP中意味着什么? 1071
如何进行HTTP POST Web请求 1033