Domanda:
Quali funzionalità di sicurezza dovrebbero essere presenti in ogni CMS basato sul Web?
VirtuosiMedia
2010-11-14 01:41:28 UTC
view on stackexchange narkive permalink

Quali sono le funzionalità di sicurezza più importanti che un CMS basato sul Web dovrebbe offrire? Cos'è vitale? Cosa sarebbe bello avere? Quali funzionalità il CMS non dovrebbe tentare di fare?

Nota: cerco più funzionalità specifiche che migliorano la sicurezza piuttosto che solo le basi come la convalida dell'input, l'escape dell'input e dell'output, la protezione XSS, SQL injection prevenzione, non mostrare errori, ecc.

Stai confondendo due diversi aspetti. Per renderlo più chiaro, vuoi avere funzionalità di sicurezza e non funzionalità di sicurezza. Tieni presente che c'è una grande differenza tra le funzionalità di sicurezza (funzionalità implementate correttamente) e le funzionalità di sicurezza (funzionalità che dovrebbero migliorare la sicurezza)
Non li stavo confondendo, ma l'hai affermato meglio di me. Grazie.
Tre risposte:
Olivier Lalonde
2010-11-14 02:02:43 UTC
view on stackexchange narkive permalink
+1, ottima risposta. Per quanto riguarda il primo punto (sicurezza ACL) - poiché la maggior parte dei CMS sono solitamente rivolti a un livello inferiore, penso che sarebbe meglio semplificare e optare per RBAC (controllo dell'accesso basato sui ruoli), ma anche fornire l'ACL se necessario. Inoltre, se questo è inteso come un CMS aziendale, dovrebbero esserci sicuramente degli hook ad ActiveDirectory, SIEM, SMS, ecc.
@AviD - Puoi chiarire la differenza tra RBAC e ACL?
@VirtuosiMedia, Ho fatto meglio di così - dal momento che pensavo che sarebbe stata un'ottima domanda per seminare il sito beta, sono andato avanti e l'ho chiesto -http: //security.stackexchange.com/questions/346/. In questo modo ottieni il meglio dalla community, non solo la mia spiegazione :)
gbr
2010-11-14 20:24:51 UTC
view on stackexchange narkive permalink

Se devi gestire le password degli utenti, assicurati di non memorizzarle come testo normale e assicurati di averle prima saltate.

Nev Stokes
2010-11-14 05:43:33 UTC
view on stackexchange narkive permalink

So che non è ampiamente utilizzato, ma ho sempre pensato che sarebbe stata una bella funzionalità per un utente poter caricare la propria chiave pubblica PGP in modo che le email generate dal CMS possano essere crittografate. In un certo senso, tutte le password generate inviate tramite e-mail devono essere utilizzate una sola volta per un periodo limitato (ovvero la password consente all'utente di accedere per 24 ore e quindi deve cambiare la password)

Aggiornato: ieri sera ero sveglio e per qualche motivo questo argomento mi è tornato in mente. Qualsiasi accesso deve essere autenticazione HTTP Digest o un accesso basato su modulo con HMAC lato client se SSL non può essere utilizzato. L'autenticazione di base e le azioni del modulo password non elaborate sono un no-no!



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...