14-11-2009, 17:42
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
אתה צריך הגנה מפני הכנסה של שאילתות שיאפשרו לשלוף את המידע
והשרת עצמו צריך להיות מוגן (תלוי במי שמנהל את השרת ובהבנתו בתחום אבטחת המידע) - וצריך שאפליקציות אחרות שקיימות על אותו שרת לא יהיו וקטור התקפה שדרכו יצליחו לקרוא נתונים מהאפליקצייה שלך
וצריך שהתעבורה בין הלקוח אל השרת לא תהיה קריאה על ידי אנשים באמצע הדרך (למשל על ידי שימוש ב SSL)
ואתה צריך ששליפת הנתונים מהשרת לגורם חיצוני (למשל לצורך חיוב) - גם היא תהיה מוצפנת, והמחשבים של המחייב גם הם צריכים להיות מוגנים (אם למשל יש אצלך על המחשב סוס טרוייאני שמסתכל על מה שיש בתוך המחשב שלך, ואתה מוריד למחשב שלך את פרטי האשראי בשביל לחייב, הסוס הטרוייאני יוכל לקרוא אותם ולדווח אותם לבעלי הסוס הטרוייאני...
זהו, פחות או יוצר...
|