Я работаю над веб-приложением, и мы готовимся его запустить. Поскольку он будет хранить конфиденциальные данные для пользователей, я хочу, чтобы он был максимально безопасным. Вот список того, что мы сейчас делаем ...
- Запуск приложения на Heroku (Ruby on Rails)
- Сайт зашифрован с использованием 256 SSL (с включенным принудительным SSL).
- Файлы cookie зашифрованы, и мы проходим тест Firesheep.
- Их пароль и все в база данных зашифрована односторонним образом ... так что даже если кто-то получит доступ к базе данных, это будет бесполезно.
- Мы не храним никаких ключей или паролей открыто в исходном коде, а используем Config Vars
Кроме того, что еще должны / могли бы мы делать. Мы рассматриваем возможность сканирования сайта McAfee, но они процитировали нам 2500 долларов в год. Не уверен, что оно того стоит.
Есть ли у кого-нибудь какие-нибудь предложения?
задан timWhit 25 February 2011 в 01:33
поделиться