我的保护网络应用程序的计划：有没有漏洞？

Question

我为一个客户端开发了一个CodeIgniter项目跟踪应用程序，该应用程序位于公共URL上，但是被私人使用。它包含一个简单的REST API，专门用于Dashboard Widget和Cocoa菜单栏应用程序，尽管它稍后会增长。

最初是为一个小团队设计的，该应用程序将在（大）公司内更广泛地使用。我的计划是成长并保护它...

1. 评估流量需求，项目资源使用情况以及相应的扩展托管。
2. 仅依靠HTTPS并购买体面的SSL证书。
3. 要求对REST API进行认证。
4. 积极监控滥用情况并制定黑名单（或多个）。

是否有任何明显的问题需要解决或最佳实践遵循这样的私人/公共应用程序？

Answer 1

这是一个相当广泛的问题。有几个复杂的方面。

SSL好;考虑启用CI's CSFR protection

锁定您的服务器。如果你不需要它们，请关闭电子邮件和ftp等端口。 Google提供教程或根据您的操作系统提出具体问题。

的基于表单的身份验证的东西一个伟大的指南：The definitive guide to form-based website authentication

确保您的权限如何你想他们。例如保密私人事物。设计授予和撤销访问权限的政策。