

























主要内容
纵览
WEB应用有众多需要架构师、设计师、程序员注意的安全问题。几乎所有安全的WEB应用都是由以上三方同时在安全上努力的结果。
除此之外, 可靠的架构和设计还要求在设计阶段的初期就统一考量部署和安全政策。否则可能会无法在已有的基础架构上部署或只有降低安全水平才能部署
本章包括一系列的架构上和设计上的规范。并依照常见的安全薄弱环节分类。WEB安全设计规范不仅是Web安全性的关键也是经常犯错误的区域。
如何应用
本章主要专注于设计应用时必须遵循的原则和规范,以下是就如何使用本章的建议。
WEB应用中的架构和设计的要点
WEB应用对设计师和程序员来说都是一个挑战。由于Http师无状态的,所以应用程序必须能分辨每一个用户的连接信息。要做到这一点,应用必须实现某种形式的用户验证。随后的用户授权决策也是基于用户验证的,这就从本质上要求验证过程和用于标记授权用户的session机制在安全上的要求是一致的。验证和session安全是设计师和程序员要面对的众多问题之一。插图4.1中标出了部分设计过程必须处理的重要问题点。
本章中的设计规范依照应用中的薄弱环节分类。根据以往经验,在这些重点区域的设计不足更容易带来安全上的脆弱。表4.1列出了薄弱环节的分类,并标出了每个薄弱环节的处理不当可能导致的问题。


部署考量
在设计环节,你应该评估应用安全政策与应用的目标部署环境基础设施的协调性。一般说来,目标环境要求是刚性的,所以应用程序的设计必须考虑环境限制。有时需要在设计上和基础设施上做一些权衡,如协议和端口的限制或特殊的部署技术。在设计阶段的的初期找出限制可以避免后期的大麻烦,此外还可以尽早得到网络和基础设施团队的帮助。
Design Guidelines for Secure Web Applications
晕,两个多小时才整了这么点。累啊,明天上班再整。。。
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。