2. 질의 응답
  3. 내 웹 사이트 데이터베이스의 사용자 보안

내 웹 사이트 데이터베이스의 사용자 보안

2010-07-23 3 views
1

일부 민감한 개인 데이터 (은행 관련)를 저장하는 mysite.com 웹 사이트가 있습니다. 이 웹 사이트에는 로그인을 저장할 USERS 테이블이있는 Oracle 데이터베이스가 있습니다. 내 웹 사이트 데이터베이스의 사용자 보안

mysite.com

에서 사용자의 암호를 나는 몇 가지 질문이 있습니다

내가 암호, 물론 암호를 저장해야하지만 어떻게

?

등록 절차는 어떻게해야합니까? 확인 이메일을 보내 정말로 필요하십니까?

일반적으로 로그인 프로세스에 대한 좋은 조언이 있습니까?

오라클 APEX를 사용하는 경우

출처

2010-07-23 guigui42

+0

아마도 이번 주에 4 번째 또는 5 번째 "비밀번호 저장 방법"질문 일 것입니다. – rook

답변

5

은행 관련 민감한 개인 데이터가 저장되어 있습니다. 자신의 솔루션을 해킹하지 마십시오. 기존의 입증 된 솔루션을 사용하십시오. 대부분의 경우 해당 데이터를 다룰 때 모든 종류의 보안 및 개인 정보 보호 법률, 규정 및 책임을 이행하게 될 것입니다. 이 규정을 알고 있고 누가 당신을 도울 수 있고 조언 할 수있는 사람을 찾으십시오.

직접 해보려하지 마십시오. "누구나 보안 시스템을 구축 할 수 있기 때문에 스스로 깨뜨릴 수 없습니다." 브루스 슈나이더 (Bruce Schneider)의 말입니다. 알았어.

편집 코멘트에 반응하기 :

을 당신은 아마 등등 은행 계좌 번호, 사회 보장 번호, 상대하고있는 개인 금융 소프트웨어를 다루는 경우에도. 그래서 당신은 아마 여전히 다양한 종류의 규제를 실행하고있을 것입니다.

OpenID 및 Oracle SSO와 같은 시스템은 인증 만 포함합니다. 또한 규정은 데이터베이스에 데이터를 저장하는 방법, 백업을 다루는 방법, 데이터베이스에 액세스하는 사람 (예 : 개발자)과 어떻게 대처해야하는지 등과 같은 최소한의 보안 조치를 규정합니다. 당신이 이것들을 따르지 않고 무언가 잘못 될 경우, 당신은 책임이 있습니다.

나는 현장에서 지식이있는 사람으로부터 도움을 요청할 것을 강력히 권합니다. 무엇을하고 싶은지, 무엇을 저장하고 싶은지 등을 설명하십시오. 그들은 어떤 규정이 적용되는지 당신에게 말할 수 있습니다. 그래야만이 기능을 구현하는 방법과 사용할 수있는 상용 구성 요소를 살펴볼 수 있습니다.

출처

2010-07-23 12:22:14

+0

내가 은행과 관련이 있다고 할 때, 나는 HSBC.com이 아니라 Mint.com과 같은 뜻입니다. Oracle SSO 또는 OpenID로 보안 성이 충분합니까? – guigui42

+0

귀하의 의견에 답하기 위해 제 대답을 편집했습니다. –

+0

+1, 건전한 조언. – DCookie

3

암호를 암호화해서는 안됩니다. 암호화를 사용한다는 것은 해독 기능이 있다는 것을 의미하며 이는 CWE-257을 위반하는 것입니다. 암호는 항상 해시되어야하며 SHA-256은 탁월한 선택입니다. 비밀번호는 cryptographic nonce으로 소금을 쳐야합니다. 인증 시스템은 여러분이 의존하는 다른 보안 시스템을 고려할 때 매우 단순합니다.

시스템에 SQL 주입이 없는지 확인하려면 VERY CAREFUL이어야합니다. Acunetix ($) NTO Spider ($$$) 또는 wapiti (오픈 소스)의 사본을 얻는 것이 좋습니다. 어쨌든 매개 변수가있는 quires는가는 길이다.

출처

2010-07-23 15:41:08 rook

0

암호는 소금에 절인 해시로 저장해야합니다. 각각에 독특한 소금을 사용하십시오. 해싱을 위해서는 더 나은 대안이 있지만 SHA1은 여러 목적으로 사용할 수 있습니다 (DBMS_CRYPTO를 통해 사용 가능). 더 나은 SHA256 (http://jakub.wartak.pl/blog/?p=124 사용)에 대한 이동하십시오.

사용자 등록 확인은 사이트에 따라 다릅니다. 사용자를 신속하게 등록하려면 등록 후 등록 링크를 클릭 할 때까지 제한된 시간 동안 등록 할 수 있습니다. 모든 정품 인증은 사용자와 연결될 실제 이메일 주소입니다. 자동/스크립트 된 가입을 방지하기 위해 captcha를 고려하십시오.

로그인 할 때 일부 잘못된 시도 (및 연속적인 잠금이 발생할 때 경고 관리자) 후에 임시 잠금을 적용해야합니다. 암호 복잡성을 강요합니다.

OWASP에는 보안 웹 앱 디자인에 대한 일반적인 조언이 있습니다. 위키 백과에는 Oracle Apex Security에 대한 정보가 있습니다. 또 다른 의견은 Acunetix 또는 NTO Spider (대신 Burp를 제안 함)와 같은 웹 테스트 도구를 제안했으며 소스 (ApexSec)의 분석을 통해 Apex 응용 프로그램의 보안을 테스트하는 도구도 있습니다 - (공개,이 회사에서 일하고 있습니다.).

또한 침투 테스트 또는 코드 검토와 같은 애플리케이션에 대한 타사보기를 고려해 볼 수도 있습니다. 웹 응용 프로그램 방화벽은 컨텍스트에 따라 약간의 가치를 제공 할 수 있습니다.

출처

2011-05-23 13:44:03 foob

관련 문제

 관련 문제