Dobry den, ak sa chcete hlbsie povenovat bezpecnosti web aplikacii, tak si mozete precitat dokument, ktory vypracoval nemecky spolkovy urad pre bezpecnost v informatike: http://www.bsi.de/literat/studien/websec/WebSec.pdf Su tam opisane bezpecnostne opatrania aj best practices. Ak neviete nemecky, tak kapitola 3.1 obsahuje linky na anglicky pisane stranky, z ktorych tento dokument vychadza.
S pozdravom Radovana Straube --- Ivan 596 <[EMAIL PROTECTED]> wrote: > Ranko, > > mohol by sa prosim nejaky bezpecnostny specialista > podelit o kroky > PROGRAMATORA pre bezpecnu java web aplikacie? > > Uvediem svoje (aplikacia je klasicky java-web, jsp, > servlet, EE ziadne, > mozno neskor, Struts): > > 0. Prihlasovanie odosielane cez POST-metodu :-) > 1. SSL sifrovana komunikacia (to ale asi nie je > programtorova starost...) > 2. Osetrenie formularovych vstupov > - pre SQL (ak mam v programe kazdy parameter > osetreny apostrofmi:String > dotaz = "SELECT * FROM nieco WHERE id='" + id "', > staci vlastne len > nepovolit vo formularovom vstupe jediny znak: > apostrof?) > - treba pre nieco ine osetrovat formularove > vstupy, ktore sluzia len > databaze? > 3. Kazda stranka (okrem prihlasovacej) na zaciatku > testuje ci existuje > session s id uzivatela, teda iba uz prihlaseny mozu > pristupovat > 4. Testovanie vsade, kde sa neocakvaju GET > parametre, ci je metoda POST > 5. Osetrovanie parametrov, napr. ak ocakavam jediny, > nieco ako if ( ( > request.getParameterMap().size!=1) spolu s > testovanim presneho mena a > hodnoty > > > oplati sa este nieco?? > __________________________________________________ Do You Yahoo!? Tired of spam? Yahoo! Mail has the best spam protection around http://mail.yahoo.com
