Задать вопрос
inside22
@inside22
веб-разработка

Где описаны стандарты безопасности в веб-приложениях?

Доброго утра.

Буду очень признателен вам, если подскажите мне какие существуют стандарты связанные с информационной безопасностью для систем интернет-банкинг.

У меня есть некоторые задачи которые я хотел бы решить согласно стандартам безопасности.

1) в ВЕБ в форме авторизации можно ли ставить птичку "запомнить логин и пароль"
2) в ВЕБ в форме авторизации можно ли ставить птичку "запомнить логин"

3) нужно ли хранить ИП-адреса с которых были произведены авторизации

4) Нужно ли назначать expiration time для Токенов, которые выдаются для авторизации в мобильных приложениях iOS и Android?

5) если клиент совершает "LOGOUT" в мобильном приложении, убивать ВСЕ токены для этого клиента?

6) Показывать в кабинете пользователя выданные токены, время выдачи и дату последнего использования?

Токен выдается при попытке авторизоваться в мобильном приложении, при условии что посланный логин и пароль корректный.
  • Вопрос задан
  • 1329 просмотров
Комментировать
Подписаться 19 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 6
@g00dv1n
OWASP
Ответ написан
Комментировать
Комментировать
sim3x
@sim3x
1) в ВЕБ в форме авторизации можно ли ставить птичку "запомнить логин и пароль"
2) в ВЕБ в форме авторизации можно ли ставить птичку "запомнить логин"
нет, если захочет, то хром/фокс спросят пользователя

3) нужно ли хранить ИП-адреса с которых были произведены авторизации
стоит. Если ты работаешь с деньгами - обязательно. Старайся не работать с деньгами без толкового TL, у которого можно уточнить детали

4) Нужно ли назначать expiration time для Токенов, которые выдаются для авторизации в мобильных приложениях iOS и Android?
стоит. Но бизнесс-процесс ты можешь такой безопасностью нарушить. Лучше используй доп запрос пароля - токена при отдельных операциях

5) если клиент совершает "LOGOUT" в мобильном приложении, убивать ВСЕ токены для этого клиента?
лучше спросить клиента отдельно. Установку по-умолчанию согласовать с заказчиком

6) Показывать в кабинете пользователя выданные токены, время выдачи и дату последнего использования?
стоит. Если оперируешь с деньгами - обязательно
Ответ написан
1 комментарий
1 комментарий
akubintsev
@akubintsev
Опытный backend разработчик
Если речь идёт об интернет-банкинге, то прежде всего надо отталкиваться от PCI DSS.
Ответ написан
Комментировать
Комментировать
ulkoart
@ulkoart
Можно начать с ISO 2700*, а дальше уже по обстоятельствам.
Ответ написан
Комментировать
Комментировать
kumaxim
@kumaxim
Web-программист
Первое - смотрите нормативные документы ЦБ. Прямо открывайте сайт cbr.ru(что нашел за 5 минут поиска).
Далее, многострадальный 152-ФЗ "О персональных данных"
Также не забываем про РД СВТ и РД АС(если писать код будите)

PСI DSS - стандарт платежных систем Visa/MasterCard. Если у Вас банк с карточками не работает(например Вы только с расчетными счетами юр.лиц работаете), то он Вам не нужен.
Ответ написан
Комментировать
Комментировать
@DaNHell
Change the world
owasp
коротко, понятно и "со вкусом"
https://www.owasp.org/index.php/REST_Security_Chea...
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Веб-разработчик
Искра Екатеринбург
от 80 000 до 100 000 ₽
Веб-разработчик
Art gorka Санкт-Петербург
от 60 000 ₽
Веб-разработка и управление IT в Sortage
Sortage Москва
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
УТ+CRM
26 апр. 2024, в 10:21
1200 руб./в час
Фулл стак Laravel + Vue.Js программист на доработку сайта агенства
26 апр. 2024, в 10:17
50000 руб./за проект
Написать тестовое Android приложение
26 апр. 2024, в 10:10
1000 руб./за проект
Ещё заказы