Я разрабатываю веб-приложение с упором на безопасность. Какие меры могут быть приняты, чтобы не дать тем, кто работает с приложением (программистам, администраторам баз данных, персоналу по обеспечению качества), захватывать введенные пользователем значения, которые должны быть надежно защищены, такие как пароли, номера социального страхования и т. Д.?
10
Ответы:
Это довольно просто. Банки делают это все время.
В вас вовлечены три группы людей. Это группы безопасности. С разными разрешениями.
Разработчики не могут назначать авторизации безопасности и не могут видеть производственные данные.
Операторы не могут назначать разрешения безопасности и не могут создавать программное обеспечение.
Сотрудники службы безопасности, которые устанавливают полномочия и не могут ни создавать программное обеспечение, ни работать с ним.
Разработчики создают программное обеспечение. Операторы устанавливают и эксплуатируют его. Сотрудники службы безопасности уверяют, что две группы держатся отдельно.
источник
Программисты не имеют доступа к рабочим серверам. Но кто-то должен иметь доступ. Там нет никакого способа обойти это. И всегда есть шанс, что кто-то может сойти с ума и злоупотребить своим доступом.
Хешированные / засоленные данные теоретически защищены даже от людей, которые имеют полный доступ для их просмотра. Но большинство данных не подходит для хеширования.
источник