¿Yuxi Java Training School te dice cómo mejorar el nivel de seguridad del servidor?
Prevención en profundidad
El principio de defensa en profundidad es un principio bien conocido por los profesionales de la seguridad y muestra el valor de las medidas de seguridad redundantes, como ha sido demostrado por la historia.
Los principios de la defensa en profundidad se pueden extender a otras áreas, no sólo a la programación. Los paracaidistas que han utilizado un paracaídas de respaldo pueden dar fe del valor de tener medidas de seguridad redundantes, aunque uno nunca quiere que falle el paracaídas principal. Las medidas de seguridad redundantes pueden desempeñar un papel importante en el posible fallo de las medidas de seguridad primarias.
Volviendo a la programación, seguir en profundidad el principio de prevención requiere tener siempre un plan de respaldo. Si una medida de seguridad falla, la otra debe brindar cierta protección. Por ejemplo, es una buena práctica volver a autenticar a los usuarios antes de que realicen acciones importantes, aunque no se conocen fallas en la lógica de autenticación de usuarios. Si el usuario no autenticado de alguna manera finge ser otro usuario, solicitar una contraseña puede impedir que el usuario no autenticado (no verificado) realice ciertas acciones críticas.
Aunque la defensa en profundidad es un principio razonable, aumentar excesivamente las medidas de seguridad sólo puede aumentar los costos y reducir el valor.
Pequeño Poder
Yo tenía un coche con llave de servicio. Esta llave sólo se puede utilizar en el encendido, por lo que no puede abrir las puertas, la consola ni el maletero. Sólo se puede utilizar para arrancar el coche. Podría dársela al encargado del estacionamiento (o dejarla en el encendido), estoy seguro de que la llave no se puede usar para nada más.
Tiene sentido darle al asistente del estacionamiento una llave que no abra la consola ni el maletero. Después de todo, estos son los lugares donde probablemente quieras guardar tus objetos de valor. Pero no creo que tenga sentido por qué no puede abrir la puerta. Por supuesto, esto se debe a que mi punto es recuperar la autoridad. Me pregunto por qué al encargado del estacionamiento se le niega el derecho de abrir la puerta. Este es un muy mal punto de vista en programación. En lugar de ello, desea considerar qué permisos son necesarios y otorgar a cada persona sólo la menor cantidad de permisos posible para completar su trabajo.
Una de las razones por las que la llave de la criada no puede abrir la puerta es que la llave se puede copiar y la llave copiada puede usarse para robar autos en el futuro. Este escenario parece poco probable, pero este ejemplo ilustra que la autorización innecesaria puede aumentar el riesgo, incluso si aumenta un poco los permisos. La minimización de riesgos es un componente importante del desarrollo de programas de seguridad.
No es necesario pensar en todas las formas en que se pueden abusar de los derechos. De hecho, es casi imposible predecir las acciones de cada atacante potencial.
La simplicidad es hermosa
La complejidad genera errores, y los errores conducen a vulnerabilidades de seguridad. Este simple hecho explica por qué la simplicidad es tan importante para una aplicación segura. La complejidad innecesaria es tan mala como el riesgo innecesario.
Minimización de la exposición
Las aplicaciones PHP requieren comunicación frecuente entre PHP y fuentes de datos externas. Las principales fuentes de datos externas son los navegadores y las bases de datos de los clientes. Si realiza un seguimiento de sus datos correctamente, puede determinar qué datos estuvieron expuestos. Internet es una fuente importante de exposición porque es una red muy pública y siempre hay que tener cuidado para evitar que los datos queden expuestos en Internet.
La exposición de datos no significa necesariamente un riesgo de seguridad. Sin embargo, se debe minimizar la fuga de datos. Por ejemplo, cuando un usuario ingresa a un sistema de pago y transmite los datos de su tarjeta de crédito a su servidor, debe protegerlo mediante SSL. Si desea mostrar su número de tarjeta de crédito en una página de confirmación porque la información del número de tarjeta se envía desde el servidor a su cliente, también debe usar SSL para protegerlo.
Por ejemplo, en el ejemplo anterior, mostrar un número de tarjeta de crédito obviamente aumentaría las posibilidades de exposición. SSL reduce el riesgo, pero una buena solución es eliminarlo por completo mostrando solo los últimos cuatro dígitos.
Para reducir la tasa de exposición de datos confidenciales, Yue-Sai Computer Training/ cree que debe confirmar qué datos son confidenciales y realizar un seguimiento al mismo tiempo para evitar toda exposición innecesaria de datos.
En este libro, le mostraré algunas técnicas que le ayudarán a proteger muchos tipos comunes de datos confidenciales.