开源 Web 框架：安全性

Question

Closed. This question needs to be more focused. It is not currently accepting answers.

---

想要改进这个问题？通过编辑这篇文章来更新问题，使其仅关注一个问题。

9 年前已关闭。

Answer 1

许多人说通过模糊实现安全性并不有效。 微软产品、Adobe Reader等都可以作为证据，证明闭源在预防安全问题上并不比开源更有效。

许多开源倡导者认为，更多的关注更好方法是对抗安全相关错误的一种方法。 然而，实际上，当您处理较小的应用程序或不太流行的商业或开源应用程序时，通常很少有人关注。 因此，某些黑帽子在谷歌代码中搜索存在安全漏洞的代码片段确实存在危险。

尽管如此，如果您使用的是相当流行的开源框架 - 我怀疑它会比竞争的商业产品更安全或更不安全。 至少，您可能可以通过拥有非常活跃的社区的开源产品更快地修复与安全相关的错误。

但是，如果您认真构建电子商务网站 - 您需要多层保护。 一定要确保适当的防火墙和入侵保护/检测系统（IPS/IDS）到位。 您可能需要为托管服务付费，该服务除了托管之外还提供安全安慰和监控服务。 请记住您的用户就是您的客户！ 任何违规行为都可能给企业带来灾难性的后果。

Answer 2

有些答案只是谈论开源与封闭和安全性，但既然你问了具体的框架，我想我应该评论一下我对 Rails 的了解。

有些功能可以间接补充安全性，也可以明确设计用于在 Rails 中实现安全性：

1. SQL 注入 - 通常鼓励 ActiveRecord 访问 Rails 应用程序中的数据库。 如果使用得当，那么您可以避免字符串连接问题，这些问题可能导致通过 SQL 注入进行利用。 这是攻击 Web 应用程序的最常见方法之一。
2. XSS - 提供易于使用的宏来对用户输入的文本进行 HTML 编码，以及用于清除用户可能在字段中输入的 JavaScript 的代码。 通过一起使用它们，您可以帮助保护自己免受来来去去的跨站点脚本攻击。
3. Cookie 操作 - Rails 中会话数据存储的默认机制是以 cookie 的形式将其发送给最终用户。 但是，用户不能简单地更改该数据，然后将其重新发送回服务器，因为它在发送之前使用很长的私钥进行了签名。 任何改变的会话数据都会立即对服务器显而易见。
4. CSRF - 这个解释起来很复杂，但是 Rails 提供了其表单的安全性，以确保传入的请求来自您实际发送给用户的表单。

还有更多的东西，但像 Rails 这样的现代框架已经内置了支持，可以帮助您从一开始就获得更安全的 Web 应用程序，这很好。 也许熟悉 Django 功能的人也可以参与进来。

Answer 3

我使用 Django 构建了多个网站，并使用 Satchmo 构建了一个店面。 封闭式框架和开源框架之间的安全性没有区别，因为所有与安全相关的信息对于您的安装都是唯一的。

例如，settings.py 文件中的“秘密代码”是在您启动项目时唯一生成的。 您可以对用户密码加盐并保护您的加密密钥，就像在任何平台上一样。

关于 Django 需要注意的一点是，所有表单输入都是开箱即用的，并且通过卫生过程进行验证并“标记为安全”。 您可以通过表单的 cleaned_data 字典访问表单的清理数据。

此外，所有模板都是自动转义的 HTML，因此注入攻击或跨站点脚本的风险几乎为零。

最后，这些模型提供了额外的安全层和验证，以防任何恶意数据通过。

至于 Satchmo，其 Paypal、Visa 等电子商务网关已被上述公司接受并使用其 API，因此它们与任何其他支付网关一样安全。 当然，您需要运行加密的 HTTPS 连接来进行信用卡支付，但这是普遍需要的，并且与您使用的框架无关。

Answer 4

在我参加的测试课程中（我同意），我总是说开源软件更安全，因为它们由更多的人测试并由更多的人改进。

隐藏代码源并不是保护应用程序安全的有效方法。 它可以适用于特定的软件，但对于广泛传播的框架，人们最终会弄清楚事情是如何工作的（http://en.wikipedia.org/wiki/Reverse_engineering）

有使用开源框架的大型电子商务 Web 应用程序。 如果您熟悉电子商务工具，您一定知道使用 Ruby on Rails 构建的 Shopify (http://weblog.rubyonrails.org/2006/6/5/shopify-is-open-for-business)

他们还发布了 ActiveMerchant :

活跃商家是从
电子商务系统 Shopify。
Shopify 的要求很简单
和统一的API来访问数十个
不同的支付网关
不同的内部API是主要的
设计图书馆的原则。

活跃商家已投入生产
自 2006 年 6 月起使用，现用于
最现代的 Ruby 应用程序
处理金融交易。

在我看来，使用 Rails 这样的框架的安全性至少会与使用专有框架一样好，甚至更好。 我不了解 django，因为我从未使用过它，但我听说它同样好。

当然，您需要保证应用程序的安全，并且不要仅仅依赖框架！