Aumento della sicurezza

[Anuelicon]

Salve a tutti, vorrei chiedere consigli su un possibile aumento della sicurezza di un sito ancora in fase di sviluppo, quindi tutte le scelte prese non sono ancora state validate.
E' prevista la registrazione utenti ed essendoci una sorta di ecommerce molto frequente si è pensato di registrare i numeri di carte di credito per velocizzare i pagamenti.
Gli utenti e i loro dati sono memorizzati su un databese a 2 tabelle, mentre per i numeri di carta vi è un altro database il cui campo contine il percorso per un file dove vi sarà il numero di carta di credito.

Il sito utilizza solo ed esclusivamente tecnologia Java, le JSP lavorano assieme a delle Servlet, solo queste ultime accedono ai database e ai file passando poi i risultati alle JSP che le hanno invocate.
Non si utlizzano cookies ma solo sessionId, valide fino alla chiusura del browser.

E' previsto di utilzzare una sola macchina, questa farà da server web e conterrà tutto il resto: classi, file e database.
La sicurezza strutturale è lasciata alla server farm che mette a disposizione anche un loro firewall hardware.

Vi chiedo consigli per quanto riguarda l'organizzazione software sul lato sicurezza, che modifiche fareste o che accorgimenti prendereste prima, durante e dopo la realizzazione vera e propria.

Grazie per i consigli.

[billiejoex]

Salve a tutti, vorrei chiedere consigli su un possibile aumento della sicurezza di un sito ancora in fase di sviluppo, quindi tutte le scelte prese non sono ancora state validate.
E' prevista la registrazione utenti ed essendoci una sorta di ecommerce molto frequente si è pensato di registrare i numeri di carte di credito per velocizzare i pagamenti.
Gli utenti e i loro dati sono memorizzati su un databese a 2 tabelle, mentre per i numeri di carta vi è un altro database il cui campo contine il percorso per un file dove vi sarà il numero di carta di credito.

Premetto che di siti web e affini sono molto ignorante, ad ogni modo, transazioni di questo tipo sarebbe preferibile farle possibilmente non in chiaro utilizzando SSL/HTTPS.
Il vostro server lo supporta?

Vi chiedo consigli per quanto riguarda l'organizzazione software sul lato sicurezza, che modifiche fareste o che accorgimenti prendereste prima, durante e dopo la realizzazione vera e propria.
Grazie per i consigli.

Sono purtroppo anche ignorante per quanto riguarda Java. Secondo me non hai cmq dato informazioni tali da poter ricevere consigli adeguati.
Di che server web stiamo parlando?
Su che piattaforma gira il tutto?
Avete implementato un sistema di backup per i dati?

[thomas_anderson]

Se la macchina ce la fa, ti consiglio di munirti di un IDS (Intrusion Detection System) come http://www.snort.org Poi dovete fare in modo di verificare che il backend del sito non sia raggiungibile da Google con tecniche illustrate su http://johnny.ihackstuff.com/ (in italiano www.re1.it/gabriele/googleguide.pdf ) Particolare cura va data alla programmazione delle pagine, anche se usando Java non dovresti avere particolari problemi. Se puoi procurati uno scanner CGI e fai una scansione del sito. Ricordatevi di non lasciare nessuna pagina di installazione sul server, di escludere Google dall'idicizzazione delle pagine di manuale del web server e di eventuali pagine di benvenuto: www.google.com/webmasters/ e su www.robotstxt.org