안녕하세요. 웹 프로그래밍의 세계에 처음 다가서는 아주 간단한 새 기술을 여러 가지 방법으로 모두 배우려고 노력합니다.모바일에서 웹 사이트에 이르는 클라이언트/서버 보안
우리는 간단한 클라이언트 (현재는 iPhone, 곧 J2ME로 이동할 것입니다)가 PHP를 통해 데이터 목록을 가져와 MySQL 데이터베이스와 통신하고 있습니다. 나는 초보 사용자/로그인 시스템을 가지고있어 데이터가 웹 사이트 나 클라이언트에서 알려진 사용자 등과 일치하는 사람에게만 제공되도록합니다.
DB를 쿼리하는 웹 사이트의 모든 PHP 스크립트가 활성 세션이 있는지 확인합니다. 그렇지 않으면 사용자를 로그인 화면으로 다시 덤핑합니다.
SSL에 대해 약간 읽었으며 웹 사이트와 서버와 클라이언트간에 전달되는 데이터를 보호하기에 충분한 지 알고 싶습니다.
HTTPS는 데이터를 보호하고 끝점을 인증합니다. 서비스에 액세스하기 위해 클라이언트를 적절하게 인증하는 것에 대해 여전히 걱정해야합니다. 또한 PHP에 영향을주는 SQL Injection 및 other vulnerabilities과 같은 취약점에 대해서도 걱정해야합니다. OWASP Top 10 2010 A3: Broken Authentication and Session Management을 읽고 세션 구현이 안전한지 확인하는 것이 좋습니다.
예, SSL은 클라이언트와 서버 간의 연결을 보호하기에 충분합니다.
사용자 자격 증명은 SSL 연결을 통해 클라이언트에서 서버로 전송되어야합니다.
그는 데이터를 보호하기를 원하므로 로그인뿐만 아니라 전체 세션을 SSL/TLS로 처리해야합니다. –
동의; 로그인에 관한 전부는 SSL을 사용하는 경우 SSL을 통해 신용도를 전달해야한다는 사실을 상기시켜주는 것입니다 (SSL 세션 * 인증을 시작한 흔한 오류이며 사람들은 확실하게 신용을 전달합니다) – Alan
감사. 그게 내 관심사 야. 이 모든 기술에 대해 거의 알지 못한다면, 나는 모든 각도를 다루고 있는지 확인하고 싶습니다. 나는 꽤 많이 걱정되는 SQL Injecttion 등에 대해 충분히 읽었다. "특히 클라이언트를 인증하는"것에 대해 좀 더 읽을 것입니다. –
이것은 바보 같은 질문 일지 모르지만 전체 게임에 비교적 새로운 동안 "충분히 좋은"보안을 구현할 수 있다고 기대하는 것이 합리적입니까? 새롭게 말하면, MySQL과 PHP를 사용하여 몇 달간 일하게 될 것입니다. –
아마도 @Amir Latif는 아닙니다. 도움이 될 라이브러리 나 프레임 워크를 추적하려고합니다. 예를 들어 Joomla와 같은 CMS에서 응용 프로그램을 빌드하는 경우이 모든 내용이 작성됩니다. CMS는 쉽게 사용자 정의 할 수 있으며 원하는 모든 작업을 수행 할 수 있습니다. – rook