Forum Webscript.Ru
Общие => Веб-технологии => Тема начата: Sanchez от 15 Апреля 2007, 15:35:14
-
Предложили разработать личный кабинет для одной финансовой конторы. В чем суть - клиент вкладывают деньги, фирма ими оперирует, у каждого клиента есть свой логин/пароль, где он может управлять счетом - например, снять деньги или, наоборот, положить. Снятие делается переводом из внутренного счета клиента в этой фирме на его личный банковский счет. Фирма проверяет данные и переводит деньги. Все реальные данные о счетах и т.п. хранятся у фирмы в локальной базе, на веб - лишь копия, для того чтоб клиент мог увидеть их и сделать заявку на редактирование в случае чего.
Я пока сказал им что подумаю, т.к. боязно браться за то, где ошибка может привести к попадалову)))
В принципе, как я прикинул - нанести вред можно, сняв деньги на "чужой" счет. Но фирма согласна на то, что личный банковский счет забивается заранее и клиент самостоятельно его изменить не может, вариант для смены один - только лично связавшись с ними. И перевод автоматически делается на этот его счет. Тогда снять деньги налево можно, пробравшись в базу Mysql и вручную изменив значение. Пробраться в базу данных можно 2мя способами:
1. Сломав что-то у хостера
2. Через дыру в сайте
По поводу 1 - вообще, насколько хорошо продумана защита у известных хостинговых компаний (Агава, мастерхост, свеб), были ли случаи взлома через их бреши?
По поводу 2 - достаточно ли защитить базу (где будут логины, пароли и прочие данные) от SQL-инъекций и применить вход в личный кабинет через генерацию случайной сессии (т.е. уникального номера, ну известный короче способ)? Или есть какие-то еще уязвимости, которые нужно иметь в виду?
Да, и еще вопрос - они мне как аналог показывали один из кабинетов похожих контор, там применялось InterPro вместо стандартного SSL, чем это вызвано? Обычный SSL уже не обеспечивает нужного уровня защищенности?