我有一个用户要提交文件的网站(pdf,doc,xls)。
我需要做些什么来确保在提交期间保护文件?
我需要在服务器上放置什么类型的安全措施才能确保文件安全/黑客证明?
您建议重新设置密码以允许用户重新设置密码而不让我们的员工参与其中的技术是什么技术?
这就是我的想法:默认情况下将电子邮件设为用户ID,然后在忘记密码中将电子邮件放入其中。如果这是正确的,将使用临时密码生成自动电子邮件。然后他们需要输入临时密码,另外两个盒子将要求输入新密码(新密码,确认密码)。
任何建议都值得赞赏,但最关键的一点是1和2。 在此先感谢您的帮助。
答案 0 :(得分:1)
我需要做些什么来确保在提交期间保护文件?
提交期间?如果您担心您和用户之间的中间人攻击会泄漏文档内容,唯一的解决方案是使用HTTPS(SSL)。您需要从CA购买服务器证书。
我需要在服务器上放置哪种类型的安全措施才能确保文件安全/黑客证明?
通过不在公共互联网上打开(或防火墙)不必要的服务来保护服务器免受被黑客入侵,并确保任何管理服务(例如SSH)受到强大的帐户密码或密钥的适当保护。不要运行FTP !!
避免Web应用程序本身中可能允许用户通过安全措施的常见安全性错误。 SQL注入,跨站点脚本,跨站点请求伪造:这是一个很大的话题! OWASP是一个很好的起点。
请勿将文件放在Web服务器所服务的Web根目录中。而是通过您自己的脚本提供它们,该脚本以适合您应用程序的方式控制访问。您还需要使用“内容处置:附件”为其提供服务和/或通过您网站的其他主机名提供服务,以防止content-sniffing attacks造成跨网站脚本风险(特别是对于IE用户) )。
然后他们需要输入临时密码,另外两个盒子将要求输入新密码(新密码,确认密码)。
这种事情是一种常见的方法。但通常是通过邮件发送的单独令牌(通常作为可点击链接中的参数)来完成,该令牌允许更改密码,而不是临时密码。当然,不应该立即更改用户的主密码以响应忘记请求,否则您可以通过不断更改密码来骚扰其他用户。