Tworzę aplikację internetową z silnym naciskiem na bezpieczeństwo. Jakie środki można podjąć, aby zapobiec przechwytywaniu przez użytkowników wartości, które powinny być dobrze chronione, takich jak hasła, numery ubezpieczenia społecznego itd., Którzy pracują nad aplikacją (programiści, DBA, pracownicy odpowiedzialni za zapewnienie jakości)?
10
Odpowiedzi:
To jest dość proste. Banki robią to cały czas.
Zaangażowane są trzy grupy osób. To są grupy bezpieczeństwa. Z odrębnymi uprawnieniami.
Programiści nie mogą przypisywać autoryzacji zabezpieczeń i nie mogą zobaczyć danych produkcyjnych.
Operatorzy nie mogą przypisywać autoryzacji bezpieczeństwa i nie mogą tworzyć oprogramowania.
Pracownicy ochrony, którzy ustawiają uprawnienia i nie mogą ani tworzyć oprogramowania, ani obsługiwać oprogramowania.
Programiści tworzą oprogramowanie. Operatorzy instalują go i obsługują. Pracownicy ochrony zapewniają, że obie grupy są rozdzielone.
źródło
Programiści nie mają dostępu do serwerów produkcyjnych. Ale ktoś musi mieć dostęp. Nie da się tego obejść. I zawsze istnieje szansa, że ktoś oszaleje i nadużyje swojego dostępu.
Dane, które są mieszane / solone, są teoretycznie bezpieczne nawet od osób, które mają pełny dostęp do ich przeglądania. Ale większość danych nie nadaje się do mieszania.
źródło