per un consiglio su questo progetto:
Devo realizzare un sistema di booking on-line senza transazioni ma devo mantenere i numeri di carta di credito finchè il cliente non arriva all'hotel.
Il mio sistema si compone di:
- Database MySQL
- Server con certificato SSL
- Area Riservata con sessioni e pagine protette da passowrd crittata in MD5
- Codice delle carte di credito crittate nel DB con chiave conosciuta solo dal proprietario.
- Tutti i login vengono tracciati.
sembra sicuro ?
Originariamente inviato da sebaz
sembra sicuro ?
di solito non è mai abbastanza..cmq oltre a queste domande, su che sistema gira? con che firewall? i db sono sulla stessa macchina o in rete interna? ecc... ce ne sono di argomenti da approfondire...
·.·´¯`·)»Davide«(·´¯`·.·
edivad82:~#/etc/init.d/brain restart
Brain is a Network
a quanto so (il server non lo gestisco io)
- il DB è sulla stessa macchina
- firewall etc non ho idea...
- win2k server
okOriginariamente inviato da sebaz
a quanto so (il server non lo gestisco io)
- il DB è sulla stessa macchina
- firewall etc non ho idea...
- win2k serverallora a priori NON sei sicuro
·.·´¯`·)»Davide«(·´¯`·.·
edivad82:~#/etc/init.d/brain restart
Brain is a Network
si spreca simpatia qua
purtroppo i requisiti sono
- Applicativo sviluppato in ASP
- MySQL
fosse stato per me
- Linux
- PHP
- MySQL
ma va bhè ci si deve adattare
no, è vero...se non sai le caratteristiche e se non hai pensato alla sicurezza del server prima della sicurezza delle applicazioni a priori non sei sicuroOriginariamente inviato da sebaz
si spreca simpatia qua
purtroppo i requisiti sono
- Applicativo sviluppato in ASP
- MySQL
fosse stato per me
- Linux
- PHP
- MySQL
ma va bhè ci si deve adattare
·.·´¯`·)»Davide«(·´¯`·.·
edivad82:~#/etc/init.d/brain restart
Brain is a Network
Cerca almeno di sapere che firewall utilizzerete ( e di essere sicuro che ci sia un fw) .
Penso sia importante che una procedura tramite la quale la macchine siano sempre patchate e che queste si trovino in una rete dedicata non condivisa da tutti ( gli utenti interni della vostra rete).
questo per avere "un minimo" di sicurezza.
ciao,
Maurox
Prima di tutto, quali parti del sito sono sotto SSL?Originariamente inviato da sebaz
per un consiglio su questo progetto:
Devo realizzare un sistema di booking on-line senza transazioni ma devo mantenere i numeri di carta di credito finchè il cliente non arriva all'hotel.
Il mio sistema si compone di:
- Database MySQL
- Server con certificato SSL
- Area Riservata con sessioni e pagine protette da passowrd crittata in MD5
- Codice delle carte di credito crittate nel DB con chiave conosciuta solo dal proprietario.
- Tutti i login vengono tracciati.
sembra sicuro ?
Se è tutto, è ok, altrimenti hai pensato al session hijacking?
Se un malintenzionato viene a sapere dell'ID di sessione di ASP può di fatto impersonare il povero malcapitato e siccome ASP non associa l'IP alla sessione sei fottuto. Quindi devi farti un sistema che, una volta che l'utente ha fatto il login, associ l'ID univoco di sessione dell'utente (Session.SessionID) al suo IP . [Tuttavia se l'utente è dietro router con NAT e anche il malintenzionato c'è poco da fare...]
Ti sconsiglio di criptare il num. della carta di credito se dopo devi usarla anche tu o se il cliente vuole sapere che num. di carta di credito ha usato.
>pagine protette da passowrd crittata in MD5
Spiegati meglio.
Il DB Mysql è preferibile che non sia accessibile dall'esterno (internet). Se il server è tuo, mettilo in asclto solo sulla interfaccia di loopback.
Permessi di invio
Rispondi quotando