1. Accueil
  2. Question et réponse
  3. Développer un site Web sécurisé

Développer un site Web sécurisé

2010-11-29 50 views
0

Je développe un site Web qui permet à un utilisateur d'afficher/de saisir ses données bancaires, de carte de crédit et d'autres informations «sensibles». Je suis conscient que je dois utiliser HTTPS pour la communication, mais en plus de cela, je ne suis pas sûr de ce qui doit être fait d'autre.Développer un site Web sécurisé

Je voudrais idéalement crypter les données envoyées entre le client et le serveur, mais je ne sais pas si cela est déjà fait en utilisant le protocole HTTPs.

Des idées sur l'endroit où obtenir des informations supplémentaires sur les meilleures pratiques pour développer une telle application Web? Information additionnelle: Je vais développer/déployer ce site Web en utilisant une pile LAMP.

Source

2010-11-29 skyeagle

+0

Quels P dans LAMP utilisez-vous? –

+0

un site Web utilise PHP (framework Symfony), l'autre utilisera Python (django) – skyeagle

+0

Essayez de poser cette question sur http://security.stackexchange.com/ – AviD

Répondre

3

  1. Vérifiez si vous avez besoin de tout développer à partir de zéro ou si vous pouvez vous baser sur un magasin ou un framework de confiance. Il y a tellement de parties qu'on peut faire dans le mauvais sens (cryptage, gestion de session, paiement, ...) lorsqu'on le fait à partir de zéro. Plus les données que vous souhaitez traiter sont importantes, plus il existe d'exigences (voir par exemple http://www.pcicomplianceguide.org, en particulier http://www.pcicomplianceguide.org/security-tips-20081030-web-application-security.php). Vous devrez peut-être parler avec des experts juridiques, car cela dépend fortement de «quelles données» et comment vous les traitez dans votre flux de travail.

  2. Jetez un oeil à http://www.owasp.org/index.php/Category:OWASP_Guide_Project - le projet de sécurité des applications Web ouvertes (OWASP) avec de nombreux indices sur les aspects importants de la sécurité Web. J'hésite à recommander des livres comme http://oreilly.com/catalog/9780596006709 - mais vous possédez probablement votre propre serveur et ne vous fiez pas à un environnement d'hébergement partagé. Vous devrez donc également renforcer votre propre environnement de serveur. SSL n'est pas suffisant. Vous devez prendre en charge les autorisations de fichiers, la gestion de la certification, les mises à jour du système d'exploitation, etc.

Source

2010-11-29 15:37:32 initall

+0

Oui, si vous gérez des données de carte de crédit, votre banque acquéreur vous demandera de vous soumettre à la conformité PCI et au moins à des évaluations de vulnérabilité ASV trimestrielles. Si vous pouvez éviter cela, vous voudrez vraiment le faire. – Cheekysoft

-1

Obtenez l'ensemble de votre installation, code, stockage, entreprise certifiée par une autorité de confiance et faites le fait que vous êtes certifié visible et vérifiable sur votre site.

Source

2010-11-29 13:41:03 rik

+2

L'affiche a posé des questions sur les meilleures pratiques de sécurisation d'une application PHP/Python et vous lui dites d'obtenir une certification et de mettre un logo de l'agence de certification sur son site? Cela ne rend pas le site plus sûr, pas la meilleure pratique. En fin de compte, il pourrait être une bonne dernière étape pour s'assurer que votre conception de sécurité a porté ses fruits. –

+0

@moontear: L'affiche n'a pas de conception de sécurité. Il le demande. – rik

 Questions connexes

  • Aucun problème connexe^_^