すべてのWebベースのCMSにはどのようなセキュリティ機能が必要ですか?
WebベースのCMSが提供すべき最も重要なセキュリティ機能は何ですか?何が重要ですか?何がいいですか? CMSが実行してはならない機能は何ですか?
注意:私は、入力の検証、入出力のエスケープ、XSS保護、SQLインジェクションの防止、エラーの表示などの基本だけでなく、セキュリティを強化する特定の機能を探しています。
- ACLベースのセキュリティ :各ユーザーが実行できることを定義します。 MagentoCommerce.com インスピレーションを得たい場合は、これでうまくいきます。
- ドラフト履歴/改訂の投稿 :何か問題が発生した場合にロールバックできます。 WordPress.org を参照してください。
- レート制限と速度チェック :つまり、1分あたりのコメント数を制限します。ユーザーは投稿できます。参照してください... security.stackexchange.com :)
- OpenID OpenIDプロバイダーがあなたよりも優れたセキュリティを提供できると信頼できる場合、間違いなくセキュリティを向上させることができます。
ユーザーのパスワードを処理する必要がある場合は、それらをプレーンテキストで保存しないようにし、最初にソルトを実行してください。
CMSで生成された電子メールを暗号化できるように、ユーザーがPGP公開鍵をアップロードできるのは素晴らしい機能だといつも思っていました。関連する種類の、電子メールを介して送信される生成されたパスワードは、時間制限付きの1回限りの使用のみである必要があります(つまり、パスワードにより、ユーザーは24時間ログインでき、パスワードを変更する必要があります)
更新:私は昨夜起きていて寝ていたが、何らかの理由でこのトピックが頭に浮かんだ。 SSLを使用できない場合、ログインはHTTPダイジェスト認証またはクライアント側のHMACを使用したフォームベースのログインである必要があります。基本的な認証と生のパスワード形式のアクションは不可です!