我正在开发一个网站,允许用户查看/输入他们的银行,信用卡和其他“敏感”信息。
我知道我必须使用HTTPS进行通信,但除此之外,我不确定还需要做什么。
我理想情况下要加密客户端和服务器之间发送的数据,但我不知道是否已经使用HTTPs协议完成了这项工作。
有关在何处获取有关开发此类Web应用程序的最佳实践的其他信息的任何想法?
其他信息:我将使用LAMP堆栈开发/部署此网站。
答案 0 :(得分:3)
检查您是否需要从头开始开发所有内容,或者是否可以构建现有的受信任商店或框架。有很多部分可以从头开始做错误的方式(加密,会话管理,付款......)。
您希望处理的数据越重要,就会有更多要求(例如http://www.pcicomplianceguide.org,尤其是http://www.pcicomplianceguide.org/security-tips-20081030-web-application-security.php)。您可能需要与法律专家交谈,因为它在很大程度上取决于“什么数据”以及您在工作流程中如何处理它们。
查看http://www.owasp.org/index.php/Category:OWASP_Guide_Project - 开放式Web应用程序安全项目(OWASP),其中包含许多有关Web安全性重要方面的提示。
我犹豫推荐像http://oreilly.com/catalog/9780596006709这样的书籍 - 但您可能拥有自己的服务器而不依赖于共享托管环境,因此您也必须加强自己的服务器环境。 SSL还不够。您必须处理文件权限,证书管理,操作系统更新等。
答案 1 :(得分:-1)
让您的整个设置,代码,存储空间,公司通过值得信赖的权威机构认证,并确保您的网站上的认证可见且可验证。