Új hozzászólás Aktív témák

• #4842 Dexter68 addikt

  Új Válasz 2018-05-07 15:52:22 #4842

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Dexter68

  addikt

  Sziasztok, biztonság-ügyben nyűglődöm. Leginkább azzal kapcsolatban, hogy melyik plugin, pluginek váltak be leginkább a megoldásukra. Nem csináltam még hiperbiztonságos wp oldalt, itt pedig az ügyfélnek erre van igénye, amit meg is kaptam egy doksiban.

  A rendszer minden publikus beviteli felületén – ide értve a regisztrációt is – szükséges Google ReCAPTCHA (vagy ezzel funkcionlisan egyenértékű CAPTCHA) megadására, kivéve, ha ez a konfigurációban kikapcsolásra került. A vezérlőérték minden érintett felületre külön-külön beállítható.
  Az elkészült szoftver vagy szoftverelemek tekintetében elvárás, hogy fejlesztői naplózást végezzen. A naplózást végző komponens kizárólag az adott technológiai körben bevált és széleskörűen használt megoldás lehet, a naplózással kapcsolatos egyedi megvalósítás kizárólag a naplóüzenetek szövegezésére korlátozódhat.

  A naplóbejegyzéseknek szabvány protokollon keresztül továbbíthatónak kell lenniük egy SIEM rendszerbe. Ez történhet olyan módon is, hogy a naplózás az operációs rendszeren keresztül kerül továbbításra egy speciális pluginnal, ebben az esetben az alkalmazás egy szöveges állományba naplóz.
  A naplózásnak ki kell terjednie legalább:
  • Adminisztrátori szerepkörbe helyezés
  • Hibás authentikáció
  A naplóbejegyzések formátumát és az egyes naplóbejegyzések magyarázatát szerepeltetni kell a teljesítés során átadott dokumentációban.

  A feltöltött file-ok tekintetében legyen konfigurálható kiterjesztés/MIME type alapú korlátozás.
  Minden file-feltöltési művelet esetén a folyamat részét képezze az állományok vírusellenőrzése. Találat esetén a művelet szakadjon meg, és erről a feltöltő kapjon visszajelzést.

  Policyból állítható minimum jelszókövetelmények (hossz vagy hossz és összetettség) és kötelező jelszó lejárati (változtatási) idő.

  Adminisztrátori jogosultságok esetén 2 faktoros hitelesítés.

  E-mailon keresztüli OTP elfogadható.

  Amennyiben a regisztráció során szükséges e-mail cím megadása, történjen meg ennek validálása.

  Hitelesítési hibánál a rendszer ne adjon tájékoztatást, hogy a login vagy jelszó a hibás.

  Minden speciális HTML karakter kódolása az XSS sebezhetőségek megelőzéseként.

  Anti-CSRF token használata a CSRF támadások megelőzése érdekében.

  X-Frame-Options header (X-Frame-Options: SAMEORIGIN) használata clickjacking támadások megelőzéséhez.

  HTTPOnly flag beállítása a session cookie-khoz.

  Secure flag beállítása a session cookie-khoz .

  Külső forrásból bármilyen elem „behúzása” az oldalba csak HTTPS protokollon keresztül lehetséges, és a forrásnak valid SSL tanúsítvánnyal kell rendelkeznie.

  A külső forrásból „behúzott” elemek (pl.: JS-ek) számának minimalizálása.

  GRC szerepkör kerüljön kialakításra.

  Kizárólag szervezeten belül használt alkalmazásnál a felhasználók hitelesítése a központi címtárból történjen.

  Köszönöm a tippeket előre is

Új hozzászólás Aktív témák