アップロードクライアントドキュメントをWebアプリケーションに安全に保存する方法

ここにはいくつかの潜在的な問題があります。確かに言うには技術的なソリューションの詳細は十分ではありませんが、それは洗練されていないアプローチのようです。

ただし、テクノロジの選択を批判するのではなく、アプリケーションに必要なセキュリティ基準を確立し、ソリューションがどのように各ポイントを達成するかを尋ねる必要があります。

例えば。

• 文書は暗号化して保存する必要がありますか？その場合、どの程度の暗号化が必要ですか？

• ドキュメントへのアクセスを誰に許可する必要があり、不正アクセスはどのように防止されますか？

• ドキュメントを保存する期間と、ドキュメントが正しく破棄されるようにする方法。

ドキュメントをフォルダに保存し、Googleと同期するphp Webサイトの場合、これらの質問にすべて当てはまるようです。

ドキュメントは暗号化されていません。サーバーが危険にさらされている場合、攻撃者はドキュメントを読み取ることができます。

Googleドライブに同期するには、ドキュメントごとに認証設定を行うために、さらに複雑さが必要になるでしょう。また、Googleドライブの認証情報はどのように保護されますか？アップロードコードを取得すると、すべてのドキュメントもダウンロードできます。

最後に、Webサイトの要求/応答の性質は、古いドキュメントを削除するというスケジュールされたタスクの性質に役立ちません。

「しかし、私たちがする必要はない」というスタイルの答えには注意してください。

---編集

GrandmasterBの答えは、ファイルをWebサーバーに保存することについての私の見解を拡張するように私を促しました。

私の見解では、これは一般的に非常に悪い習慣であり、多くのセキュリティ問題につながる可能性があります。

1：ディレクトリをクリアする。

ディレクトリ自体を実際に使用しない場合は、代わりにGoogleドライブなどを同期します。その後、webserverディレクトリは、ファイルをPCに取得するプロセスの技術的なステップとして忘れられる可能性があります。あなたは、どこかでインターネット上にぶら下がっている忘れられたファイルのディレクトリになってしまいます。

2：バックアップ

ウェブサーバーをバックアップする場合、ファイルのディレクトリもバックアップしている可能性があります。繰り返しますが、これにより、忘れられていたコピーまたはデータのコピーが浮遊します。

3：Webファームとサードパーティ

最近のWebサイト実行の一般的な方法は、一度に複数のサーバーを稼働させることです。たとえそれが単なるホットスワップボックスである場合でも、管理および同期するファイルの2つのディレクトリがあります。負荷に対処するためにより多くのボックスを回転させたいですか？プロバイダーを変更しますか？アップグレードしますか？それぞれが、顧客データが保存されている場所が増えることを意味します

さらに、最近自分のウェブサイトをホストしているのは誰ですか？あなたのウェブサイトは「クラウド内」にあるか、サードパーティにある可能性があります。これには独自のセキュリティ上の懸念がありますが、「私のウェブサイトのコードのセキュリティ」と「顧客のデータのセキュリティ」をリンクしたくない場合は、それを支援できます。

要約すると、私の見解では、データを追跡できず、内部で「顧客のために証券レビューを行う必要があり、秘密文書のコピーが10部あることに彼らは怒っています」ある種の単一のドキュメントリポジトリで、他の問題とは別

提供されたすべてのフィードバックをありがとう！

私は彼らに次のアドバイスをします：

プログラマーがOWASPセキュアコーディングガイドラインに従っていることを確認してください。

パスワードが暗号化されてデータベースに格納されていることを確認します。

ドキュメントをWebサーバーに保存しないでください。暗号化する必要がある場合は、GoogleまたはSpideroakに一度に同期します。同期が失敗すると、トランザクション全体が失敗します。

Webアプリケーションの前にWebアプリケーションファイアウォールを配置します。

プロのセキュリティ監査と侵入テストの費用を支払います。

もう何か？ :-)