开发一个安全的网站

Question

我正在开发一个网站，允许用户查看/输入他们的银行、信用卡和其他“敏感”信息。

我知道我必须使用 HTTPS 进行通信，但除此之外，我不确定还需要做什么。

理想情况下，我希望对客户端和服务器之间发送的数据进行加密，但我不知道这是否已经通过使用 HTTPs 协议完成。

关于如何获取有关开发此类 Web 应用程序的最佳实践的更多信息，您有什么想法吗？

附加信息：我将使用 LAMP 堆栈开发/部署此网站。

Answer 1

1. 检查您是否需要从头开始开发所有内容，或者是否可以在现有的可信商店或框架的基础上进行构建。从头开始做时，有很多部分可能会以错误的方式进行（加密、会话管理、支付……）。

2. 您想要处理的数据越重要，存在的要求就越多（请参见例如http://www.pcicomplianceguide.org< /a>，特别是 http://www.pcicomplianceguide.org/ security-tips-20081030-web-application-security.php）。您可能需要与法律专家交谈，因为这在很大程度上取决于“什么数据”以及您如何在工作流程中处理它们。

3. 看看http://www.owasp.org/index.php/类别：OWASP_Guide_Project - 开放 Web 应用程序安全项目 (OWASP)，提供有关 Web 安全重要方面的大量提示。

4. 我不太愿意推荐像 http://oreilly.com/catalog/9780596006709 这样的书籍 - 但你会的可能拥有自己的服务器而不依赖于共享托管环境，因此您也必须强化自己的服务器环境。 SSL 还不够。您必须处理文件权限、认证管理、操作系统更新等。

Answer 2

让您的整个设置、代码、存储、公司获得值得信赖的权威机构的认证，并让您的认证事实在您的网站上可见且可验证。