Ben banka dereceli güvenlik şifreleme iddia birçok site gördük. kendi web siteleri php ile inşa edilmiş ise güvenlik ne diğer formları mysql_real_escape_string ve 128bit SSL şifreleme kullanarak kenara bulunabilir?
Bir şirket "Devlet Gücü" ya da "Banka Sınıf" secuirty reklam zaman onlar muhtemelen FIPS 140 şifreleme standardı dersin bahsediyoruz. Çoğu zaman kriptografi gerçek bir dünya sistemi güvenliğinde sorun değildir.
Örneğin bu USB Key son derece savunmasız ve AES256 ile satış noktası "140" FıPS kullanılır! A 128 bit numarası masif ve AES128 uyumlu FIPS 140. Daha fazla bit olması sadece bir penis ölçme yarışmadır. Çünkü Twitter can break their crypto ABD hükümeti pek secuirty için bir rol modeli olduğunu ve bu şifre daha önemli boyutu nedeniyle değildi edilir.
Hazırlanan tablolar iyi bir başlangıç olacaktır. % 100 kusursuz değildir kaçan dizeleri, endişesi üzerinde büyük bir gelişme.
http://php.net/manual/en/pdo.prepared-statements.php
Muhtemelen gerçek iken Ayrıca, bu iddiaları, biraz aptal vardır - web sitesi güvenliğini anlamıyorum insanlar içindir. İşte için "banka notu şifreleme" ile hiçbir ilgisi olmayan güvenlik diğer formları birkaç örnek
Bol daha bu listeye eklenebilir ki var. Hala güvenliği hakkında bilgi edinmek için çok var, ama ben başlamak alır umuyoruz.
Güvenli kimlik doğrulama temel kural: denetlemek şeyler üç türü vardır - bildiğiniz bir şey, var bir şey, sen bir şey. Bunlardan en az ikisini kullanmalıdır. (Bankalar genellikle bir şifre ve bir akıllı kart ya da cep telefonu kullanmak.)
"Banka notu güvenlik şifrelemesi" gelince, istemci-sunucu bağlantısı şifreleme için bir ihtiyaç vardır tek yer olduğu gibi, onlar SSL kullanıyorsanız söyleyerek için marketingspeak olduğunu tahmin ediyorum. (Sen karma ve şifreleri tuz, ama bu tam olarak şifreleme değil olmalıdır.)
Banka dereceli güvenlik encription
[sic] I think I would run a mile if I saw that on a website!
Ama cidden ... onun bir SSL sertifikası almak kolay, ve müşteri verileri için bankalar tarafından kullanılan (genellikle hariç onlar çok daha büyük miktarda underwritten olan) başka olanlardan farklı değildir.
Avrupa ve N. Amerika'da finans kurumları teknik standartları aynı zamanda operasyonel uygulamaları sadece tanımlamak çok özel yönettikleri nasıl kısıtlamalar ve şifrelemek verileri (örneğin BS7799) var ancak. Gerçekten sadece bir pazarlama ve spin - Yani bankalar gibi güvenli SSL sahip olduğunu iddia eden bir çok kısmi gerçektir.
Ama kaynatın görünüyor soru .... adres; "Nasıl benim site güvenli mi?", sertifika sahibi ve mysql_real_escape_string kullanarak () ancak güvenlik yüzeyi çizilmeye aşağı. Uygun bir cevap birkaç kitap dolduracak. Sen Steffan Esser ve Chris Shifflet internette yayınlanan ne okuyarak başlayabilirsiniz.
C.
Birçok şirket güçlü bir şifreleme kullanmak çünkü güvenli (veya müşterileri ikna etmeye çalışın) inanıyorum. Bir saldırganın kendi sitesine girmeye istiyorsa the last thing they will be doing is trying to break the crypto. Bunlar SQL enjeksiyon, tampon taşmaları ve CSRF gibi düşük meyveler için arıyor olacak. Çoğu güvenlik açıkları nedeniyle zayıf kripto değil, temel güvenlik prensibi never trust user input takip değil çünkü. Beni yanlış anlamayın, kriptografi önemli bir bileşendir, ama bunu kullanarak güvenli olduğu anlamına gelmez.
Başlamak için iyi bir yer web sitelerinin güvenliğinin üzerinde çok kaynak mevcuttur bakmaktır. İşte birkaçı: