Автор Тема: Безопасность личного кабинета, думаю - стоит ли браться?  (Прочитано 4508 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Sanchez

  • Заглянувший
  • Новичок
  • *
  • Сообщений: 27
  • +0/-0
  • 0
    • Просмотр профиля
    • http://pickupcentre.ru
Предложили разработать личный кабинет для одной финансовой конторы. В чем суть - клиент вкладывают деньги, фирма ими оперирует, у каждого клиента есть свой логин/пароль, где он может управлять счетом - например, снять деньги или, наоборот, положить. Снятие делается переводом из внутренного счета клиента в этой фирме на его личный банковский счет. Фирма проверяет данные и переводит деньги. Все реальные данные о счетах и т.п. хранятся у фирмы в локальной базе, на веб - лишь копия, для того чтоб клиент мог увидеть их и сделать заявку на редактирование в случае чего.

Я пока сказал им что подумаю, т.к. боязно браться за то, где ошибка может привести к попадалову)))
В принципе, как я прикинул - нанести вред можно, сняв деньги на "чужой" счет. Но фирма согласна на то, что личный банковский счет забивается заранее и клиент самостоятельно его изменить не может, вариант для смены один - только лично связавшись с ними. И перевод автоматически делается на этот его счет. Тогда снять деньги налево можно, пробравшись в базу Mysql и вручную изменив значение. Пробраться в базу данных можно 2мя способами:
1. Сломав что-то у хостера
2. Через дыру в сайте

По поводу 1 - вообще, насколько хорошо продумана защита у известных хостинговых компаний (Агава, мастерхост, свеб), были ли случаи взлома через их бреши?
По поводу 2 - достаточно ли защитить базу (где будут логины, пароли и прочие данные) от SQL-инъекций и применить вход в личный кабинет через генерацию случайной сессии (т.е. уникального номера, ну известный короче способ)? Или есть какие-то еще уязвимости, которые нужно иметь в виду?

Да, и еще вопрос - они мне как аналог показывали один из кабинетов похожих контор, там применялось InterPro вместо стандартного SSL, чем это вызвано? Обычный SSL уже не обеспечивает нужного уровня защищенности?

 

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28