前言:我是开发安全商业应用程序的新手,并且我知道我可能太敏感了。
我正在与一个主管作为自由职业者一起在一个使用Forms Authentication和SHA1 hash sans salt的截短版本的项目中工作。该项目不使用其他安全性,并且已明确指示我不要使用MVC应用程序通常附带的任何内置安全性,以及一些呈现/脚本库以及用于角色身份验证或数据的内置方法注解。
据我所知,该应用程序将不会与遗留代码进行交互,并且选择使用这些方法并不在于与任何现有代码库向后兼容。
该项目使用家庭酿造方法进行加密,角色和安全性,该方法使用SHA1版本,并且覆盖或不使用许多“表单身份验证”方法。
该应用程序存储的数据将包括从小型企业到政府实体的各种实体和个人的财务和个人记录。
我已经多次提到我对应用程序不使用大多数MVC安全工具这一事实感到不自在,敦促老板让我使用更多安全性,并记录了该项目的问题。
我还花了几个小时阅读Asp.Net Identity和其他工具,以准备根据项目要求自定义它们,同时保留我认为必要的内容,但被拒绝这样做。
尽管有我的担心,但我还是想尽可能地完成该项目,最好以一种不会让用户感到非常糟糕或使我自己对可能在此处公开的数据类型产生法律后果的方式完成。
在满足以下条件的情况下,我想知道是否有任何特定方法可以提高该项目的安全性:
通常,由于要存储的数据的性质,我担心家庭酿造安全性以及缺少当前的安全工具会造成一种情况,其中很难泄露敏感信息。
我与上司的沟通非常差。我希望任何回应都会给我更多/更好的方式来传达我所看到的漏洞。毫无疑问,我现在正在惹恼我的老板,这很可能是导致我们沟通中断的一个因素,但我对此非常非常担心。
再一次,我准备听到我过于敏感或我错了。我敏锐地意识到,作为一名新开发人员,我尚未对该领域形成全面的了解。我的经验绝大部分是学术方面的,并且我知道教室不一定是软件开发实际实践的良好模型。
我也准备听到我应该完成项目并让老板一个人呆着。
但是据我所知,无论说什么,我正在创建的内容都将很容易被打破,并且出于上述所有原因,我觉得有必要尝试做一些事情使其变得更难一点。
从您在此处撰写的内容来看,这听起来像是您不想参与的项目。列出的约束听起来像是他们从90年代开始构建一个Web应用程序。听起来,如果您打算使应用程序变得安全起来,那么它们涵盖了所有您不想做的事情。
我唯一想说的是,您应该确保它们使用https。另外,此处未明确列出验证码,但它们可能属于第三者工具。您可能应该修改自制代码库,看看是否可以加强它?
您可能应该认真思考一下这项工作是否值得解决……
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句