» »

Varnost, enkripcija,...

Varnost, enkripcija,...

Dirkac ::

Sem pred izdelavo ene obsežne in aplikacijsko podprte spletne strani. Stranka želi, da ji povem, kakšno varnost bo celotna stran zagotavljala. Kaj jih zanima:

1. Kakšna enkripcija bo uporabljena?
2. Ali izvajalec poskrbi za certifikat za enkripcijo?
3. Ali je v ponudbo vključen test varnosti?
4. Ali izvajalec izvede test varnosti in poda poročilo?
5. Ali izvajalec da zagotovilo o varnosti?

Odgovoriti znam le na prvo vprašanje. enkripcija gesel je enosmerna, vse ostalo pa dvosmerno. Kaj pa druge stvari. Ali ima kdo že izkušnje s tem? Ali je dovolj eno-mesečno testiranje strani? Prosil bi za kak nasvet, ali pa kakšen uporaben link.

Hvala
  • spremenil: Dirkac ()

david ::

torej, popolne zascite se nisem videl :D

da poskrbis za certifikat je to tvoj problem, vendar so ponavadi kar dragi ...
test varnosti ja ... pac, stestiraj vse luknje ali pa dej povej URL pa ti bomo stestiral >:D ... s tem dobis odgovor se na 4. vprasanje - porocilo bo :D
5. je pa delikatno spet ... ti zagovotilo lahko das, vendar ce jim kdo kaj fenta, je pa potem problem, ker bodo oni prisli k tebi s ta-istim potrdilom ... razumes?

Ales ::

Vse je odvisno od pogodbe s stranko in za kakšno aplikacijo sploh gre... kaj maš to kak razpis?

Jaz bi, tako na splošno, odgovoril takole:

1) si že dobro povedal, mogoče navedi še algoritem in tehniko izvedbe?
2) ja, če tako želijo

Nabava pride pod $100 letno, odvisno od vrste certifikata. Za koliko jim ga prodaš pa... :) Če rabiš kake vire, me kontaktiraj... Lahko enakovreden certifikat sicer generiraš sam, vendar bodo obiskovalci videli opozorilo od browserja.

3) enomesečno testiranje aplikacije je lahko daleč preveč ali pa čisto premalo. Fora je samo v tem, da predvidiš možne scenarije "napada" oz. napak pri uporabi, drugače ti nič ne pomaga, če testiraš celo leto. Če so zelo zahtevni, jim ponudi revizijo s strani tretje, za to kvalificirane firme.

4) Glede na 3. odgovor... Nasplošno: ja, seveda.

5) Niti pod razno, vsaj ne brez posvetovanja z dobrim odvetnikom... ni pa nujno, da to tako direktno napišeš :D Če pa je projekt zelo velik, potem se lahko uredi tudi to, s tem da se sam prej ustrezno zavaruješ pred posledicami >:D

lp, Aleš

.:joco:. ::

2) -> NE (razen če se misliš zajebavat z notarji in podobnimi zadevami)
3) -> DA
4) -> DA
5) -> Napišeš eno pogodbo, v kateri napišeš, da ne odgovarjaš za morebitne "hardverske vlome", da morajo redno spreminjat gesla, da morajo biti gesla toliko in toliko dolga, da naj se v primeru "vloma" najprej obrnejo na policijo, da ne odgovarjaš za "vlome" ki so bili napravljeni z ugibanjem gesla, ker to pomeni, da so ga lahko izdali ali pa je bilo čisto lahko (123456)...

Skratka pogodbo napiši tako, da bo odgovarjala tebi. Čim več členov in "drobnega tiska". Podpis na koncu strani in to je to.
"Is science true?"
You don't get it.
Science is the process of trying to find out what's true.

Dirkac ::

Joco: Če bi bilo res tako enostavno. Problem pa je ta, da je naročnik ena večjih programerskih hiš v Sloveniji, ki še predobro pozna vse te zadeve in jih ne moreš ovijat okrog prsta oz. jih 'nategnit', ker imajo tudi pravne strokovnjake.

Ales ::

Ta zadeva pod 5) se da urediti na zelo eleganten in neboleč način, s tem da jim lahko potem ponudiš polno garancijo.

Vprašanje je samo, ali je dovolj velik projekt, da se ti to splača. Ne bi pa kaj več komentiral o tem na forumu... mail.

SLOWWWeb.net ::

Če potrebuješ kakršno koli pomoč, glede strokovnega testiranja varnosti, povej oz. piši.
__________________________________________________
WEBhosting / WEBdesign / WEBdomain / Security solutions
BREZPLAČNI marketinški nasveti za podjetja in www strani

Zgodovina sprememb…

  • spremenil: darh ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Varna gesla, ki to niso: ji32k7au4a83 (strani: 1 2 )

Oddelek: Novice / Varnost
7020863 (17182) SeMiNeSanja
»

shranjevanje gesla v bazo (brez autentikacije)

Oddelek: Programiranje
222264 (1620) detroit
»

Kako jim uspe vdreti na Facebook?

Oddelek: Informacijska varnost
3935935 (33914) Grizzly
»

Google želi tvoriti in hraniti vaša gesla (strani: 1 2 )

Oddelek: Novice / Zasebnost
5829423 (26042) antonija
»

Uporabnikom za veljavnost certifikatov ni mar

Oddelek: Novice / Varnost
325078 (3719) BlueRunner

Več podobnih tem