安全注意事项- GAE上的办公网站/门户

Question

如果需要创建一个办公网站(作为客户/客户/员工的平台)来登录和访问共享数据，安全方面的考虑因素是什么？

为了给您提供更多详细信息，我们使用django/python开发了办公门户，并通过GAE托管它。从本质上讲，端点附带登录/密码以进入门户并访问数据。

我想知道: a)我们可以做些什么来带来高级别的安全。从本质上讲，数据是关键的，因此只需要授权人员访问。所以想让它成为“应用程序是安全的-如何安全地保存他的密码。这意味着，进入系统(未经授权)的唯一方式是通过(个人)密码泄漏，而不是任何黑客方式。”:) b)我们可以使用https在GAE (appspot.com)上托管应用程序吗？c)有没有比密码更好的保护方法(我听说过ssh密钥/证书)。但最终用户可能不是非常精通技术的人。

Answer 1

在可用性和安全性之间总是有选择的。你实现的安全特性越多，使用它就越困难。

我们可以用https在GAE (appspot.com)上托管应用吗？

是的，但不是在你自己的域名上，只在appspot.com上。如果你在自己的域之外为你的应用程序提供服务，你必须通过你的应用程序的appspot域引导所有的安全流量(在你自己的域上，你必须购买一个SSL证书，并且你需要一个专用的IP等等)。如果你真的必须这样做，有一些方法可以在你自己的域路由SSL流量，但由于这需要另一台服务器运行一些类似stunnel之类的东西，所以它为攻击者提供了另一个攻击目标。

如果你的应用程序有用户名/密码认证，如果你的代码中没有可能被利用的bug，那么这个应用程序真的就像一个人保存密码的安全程度一样安全。关于“黑客方式”：在GAE上，你不必关心服务器的安全性，唯一可能的攻击目标是你的代码。

以下是保护应用程序安全的一些策略：

• 良好的QA和代码审查，以发现关键的错误；Django已经内置的保护，以防止大多数琐碎的攻击，如XSRF和SQL注入，所以看看你自己的代码部分，与关键数据和其他身份验证方法的authentication
• think，如客户端证书(易于使用的最终用户，大多数浏览器支持这一点，现代操作系统有一个证书存储；在GAE上可能不是一件容易的事情)
• 每个安全环境的最薄弱环节是用户，所以你应该告诉用户关于处理敏感数据和密码的良好实践(顺便说一句，要求每几个月更换一次密码根本不会提高安全性，因为这通常会导致用户记不住密码，你失去的安全比你获得的更多)
• 你应该有良好的入侵检测来尽快锁定攻击者，例如行为分析；例如:如果来自美国的用户从爱沙尼亚的IP登录，这是suspicious
• network访问限制:您可以阻止访问关键数据的所有IP范围，如果密码泄露，这将最大限度地减少可能的impact
• improve最终用户安全:如果其中一个用户在其计算机上安装了特洛伊木马，使屏幕截图或键盘日志，您的所有安全都会丢失，因为攻击者可以只看着用户，而他正在查看敏感数据；您应该在您的enterprise
• force用户中有一个良好的安全策略，以通过SSL访问您的网站，您不应该让用户选择是否安全或舒适，而不是

。