我正在开发一个网站,允许用户查看/输入他们的银行,信用卡和其他“敏感”信息。开发一个安全的网站
我知道我必须使用HTTPS进行通信,但除此之外,我不确定还需要做什么。
我理想上喜欢加密在客户端和服务器之间发送的数据,但我不知道这是否已经通过使用HTTPs协议完成。
关于何处获得有关开发此类Web应用程序的最佳实践的其他信息的任何想法?
附加信息:我将使用LAMP堆栈开发/部署此网站。
我正在开发一个网站,允许用户查看/输入他们的银行,信用卡和其他“敏感”信息。开发一个安全的网站
我知道我必须使用HTTPS进行通信,但除此之外,我不确定还需要做什么。
我理想上喜欢加密在客户端和服务器之间发送的数据,但我不知道这是否已经通过使用HTTPs协议完成。
关于何处获得有关开发此类Web应用程序的最佳实践的其他信息的任何想法?
附加信息:我将使用LAMP堆栈开发/部署此网站。
检查您是否需要从头开始开发所有功能,或者是否可以构建现有的受信任的商店或框架。当从头开始时,有太多的部分可以做错误的方式(加密,会话管理,付款......)。
您希望处理的数据越重要越多(例如,请参阅http://www.pcicomplianceguide.org,特别是http://www.pcicomplianceguide.org/security-tips-20081030-web-application-security.php)。您可能必须与法律专家交谈,因为它严重依赖于“什么数据”以及您在工作流程中如何处理它们。
看看http://www.owasp.org/index.php/Category:OWASP_Guide_Project--开放Web应用安全项目(OWASP),其中提供了有关Web安全性重要方面的大量提示。
我犹豫推荐像http://oreilly.com/catalog/9780596006709这样的书籍 - 但您可能拥有自己的服务器,而不依赖共享主机环境,因此您也必须加强自己的服务器环境。 SSL是不够的。你必须照顾文件许可,认证管理,操作系统更新等。
让您的整个设置,代码,存储,公司由一个值得信赖的权威认证,让您所认证的可见光和verifyable网站上的事实。
你在使用LAMP中的哪个P? – 2010-11-29 13:36:30
一个网站使用PHP(Symfony框架),其他的将被使用Python(Django的) – skyeagle 2010-11-29 13:47:33
试着问这对http://security.stackexchange.com/ – AviD 2010-11-30 10:34:25