0

ドメインがある場合:https://somedomain.example有効なSSL証明書を使用して、クライアントとサーバー間のデータを暗号化するために他の予防措置を講じる必要がありますか、それともMySQLデータベースのAES暗号化を介してサーバー上のデータを保護することが唯一の懸念事項です。

基本的に、クライアントとサーバー間のセキュリティはすべてSSLに任せていますか?たとえば、FacebookとGoogleはそれをどのように行っていますか?

4

2 に答える 2

2

SSLを使用するだけですべての暗号化が処理されるため、データは転送中に保護されます。

XSSCSRFに対する認証、承認、防御は別々に処理する必要があります。(ただし、認証にはSSLクライアント証明書を使用できます)。

XSSは特に注意が必要です。攻撃者がページにJSを挿入できる場合、暗号化されていないブラウザのデータにアクセスできます(転送中の場合とは異なります)。

于 2013-01-10T09:19:01.107 に答える
2

これは正確には意味がないかもしれませんが、SSLを使用する場合でも、データベースでパスワードソルトを使用することをお勧めします。プレーンテキストのパスワードをデータベースに保存する理由はありません。サーバーに保存されているデータの機密性がそれほど高くない場合でも、データベースが侵害された場合、ユーザーは通常、サイト間で同じパスワードを使用するため、オンラインバンキングなどの深刻なものにパスワードを配布している可能性があります。

個人的には、さらに一歩進んで、パスワードのソルトに加えてチャレンジレスポンススキームを実装することを好みます。実装は非常に簡単です。そうすれば、サインアップ中を除いて、サーバーがユーザーの実際のパスワードを確認することはめったにありません。私の意見では、私のサーバーが知らないほど良いです。

于 2013-01-10T09:19:53.553 に答える