Desarrollé una red social en PHP. Antes y después de ponerlo en funcionamiento, ¿qué precauciones / seguridad debo tomar sobre los datos y los inicios de sesión de los usuarios?

Estás en problemas.

Has cometido el clásico error de intentar conectar la seguridad como una idea posterior en lugar de integrarla en el sistema desde el principio. La razón por la que esto es un error es que la forma más común en que los delincuentes piratean su sistema es a través de las debilidades de su software subyacente y los procesos en torno a su sistema. Por ejemplo, tener contraseñas encriptadas realmente no ayuda si una vez que un usuario se autentica no se realizan más verificaciones cuando de repente aparecen desde una dirección IP en otro país. Después de que todas las contraseñas están encriptadas, se supone que será pirateado y que sus contraseñas están protegidas en tal caso para limitar el daño .

La realidad es que no hay una lista de verificación estática que garantice su seguridad. Las listas de verificación existen cambios y evolucionan según la tecnología, los procesos y las amenazas. Ninguno de estos es algo que puede hacer una vez y olvidarse.

Aquí hay algunos sitios web que lo ayudarán en la dirección correcta.

  • Proyecto de seguridad PHP OWASP
  • Banshee, el framework PHP seguro
  • Software de prueba de penetración | Metasploit
  • Prueba de penetración de aplicaciones web

Realmente debería considerar dedicar a alguien para que observe la seguridad de manera continua.

Una cosa que nunca debe hacer es intentar escribir su propio cifrado, generadores aleatorios o funcionalidad técnica cuando existan bibliotecas y módulos existentes. Prácticamente todas las funciones de seguridad disponibles, especialmente las de código abierto, se prueban exhaustivamente y las matemáticas subyacentes se analizan en un grado que no puede comenzar a imaginar. Es más probable que cometa algunos errores básicos que los delincuentes aprovecharán. Y solo porque lo que estás haciendo no es público no significa que alguien no pueda explotarlo.

Related Content

¿Por qué no puedo eliminar mis viejos tweets? Mis tweets aparecen en mi perfil si solo tienen menos de 3 meses. ¿Como puedó resolver esté problema?

Estoy perdiendo muchos clientes para los que hago redes sociales. ¿Cuáles son algunas prácticas alucinantes que podrían ayudarme a recuperar a mis clientes o mantener los actuales?

Si tuviera $ 100 al mes para análisis de redes sociales, ¿cómo debería gastarlo?

Mis amigos y yo hemos comenzado una campaña en línea de camisetas Booster para recaudar fondos para combatir el hambre. ¿Cómo creo una exitosa campaña Booster en línea además del uso de cuentas personales de redes sociales?

Tengo una idea para una aplicación social. ¿Debo iniciar una empresa para lanzarla o puedo hacerlo a título individual? ¿Qué estrategia es mejor en términos de contratación, comercialización, etc.?

La respuesta, en gran parte, depende de qué marco construyó su sitio. Algunos marcos como Banshee, mencionados en otra respuesta, se ocupan automáticamente de ciertas clases de vulnerabilidad web como CSRF.

Si no utilizó un marco y no creó mitigaciones intencionalmente, su sitio definitivamente será vulnerable a muchos de estos ataques. Los atacantes pueden detectarlos y explotarlos automáticamente para spam y otros fines, por lo que no puede ignorarlos.

Familiarícese con las 10 vulnerabilidades web principales de OWASP, que hace un buen trabajo al explicar los errores comunes y cómo mitigarlos.

Lo más importante, si algo de esto es una novedad para usted, obtenga una evaluación de seguridad de su producto antes del lanzamiento.

Isaac Potozny-Jones

Cada red social pone énfasis en la privacidad del usuario y la estructura de interfaz de usuario fácil de usar. En lo que respecta a la privacidad, puede comenzar cifrando la contraseña y haciendo que el servicio de olvido de contraseña sea fuerte y protegido.
Además, puede proteger las imágenes de usuario y la colección privada de la indexación en el motor de búsqueda.

Isaac Potozny-Jones

More Interesting

Hago búsquedas de palabras clave y comento en otros blogs, comparto en las redes sociales (más de 45 grupos de Facebook) y StumbleUpon, pero no pude obtener más de 50 páginas vistas al día. ¿Que más deberia hacer?

No he usado las redes sociales en 2-3 años (además de Quora) y estoy pensando en unirme a una nueva. ¿A qué sitio debo unirme?

Comencé una startup y estamos trabajando en una aplicación en el campo de las redes sociales. Estamos lanzando pronto, y me preguntaba cómo podemos ganar usuarios y tener una tasa de velocidad tremenda en el primer mes.

¿Por qué no puedo seguir a las personas en Instagram?

Estoy planeando escribir una revisión de cuán efectivo es ‘comprar seguidores / me gusta de Instagram’ para alguien que acaba de abrir una nueva cuenta. ¿Cuál es un buen servicio recomendado que valga la pena probar?

He hecho un cortometraje y deseo promocionarlo, pero como estudiante no tengo dinero. ¿Cuáles son las formas efectivas de publicitar un video gratis?

Estoy finalizando un informe de métricas de redes sociales después de ejecutar una campaña de 10 días. ¿Cómo puedo obtener información sobre los factores que definen los resultados?

Estoy planeando comenzar un sitio de redes sociales dirigido a la comunidad estudiantil. ¿Qué compañía india puedo contratar para desarrollar el sitio web para mí?

Estoy planeando crear un sitio de redes sociales para las personas que se quedan en apartamentos. Quiero funciones como foros, chat, etc. ¿Qué empresa de desarrollo web en India debería contratar?

Tengo una linea de ropa. ¿Qué tipo de marketing le dio la respuesta / devolución más efectiva?