Безопасность

Руководство по безопасному вебу.

Думайте

Безопасность важна, поэтому не стоит применять описанные практики без их понимания. Убедитесь, что понимаете каждую из них, почему она существует и как ее применять.

Несоблюдение руководства может привести вас, вашу команду и разрабатываемые сервисы к риску компрометирования или или утраты приватности.

Использование паролей

• Создавайте уникальный пароль для каждого аккаунта, который создаете.
• Используйте утилиты типа pwgen или 1password для генерации рандомных паролей.
• Используйте утилиты типа GnuPG для шифрования пароля при его передаче между коллегами.

Принятие паролей

• Не храните пароли в открытом виде, например, текстовом файле.
• Не используйте обратимое шифрование паролей.
• Не используйте алгоритмы шифрования, которые легко сломать, например, MD5 или SHA1.
• Не принимайте пароли или токены сессии по HTTP.

HTTPS

• Используйте HTTPS для всего трафика.
• Используйте HTTPS с самого начала разработки, в процессе внедрение будет вызывать дополнительные сложности.
• Используйте HTTPS редиректы для HTTP трафика.
• Используйте HSTS заголовки для обеспечения HTTPS трафика.
• Используйте безопасные куки.
• Используйте протоколо-зависимые URL-ы.

PGP and GnuPG

• Используйте PGP подпись в письмах если хотите, чтобы кто-нибудь точно знал, что письмо написали точно вы.
• Используйте PGP для проверки отправителя письма.
• Используйте PGP для шифрования писем если хотите, чтобы никто кроме получателя не смог прочитать письмо.
• Используйте ultimate trust для своих ключей.
• Используйте full trust для ключей, в которых убедились лично или по защищенному каналу общения.
• Не делитесь своими приватными ключами ни с кем, включая сервисы.
• Храните по крайней мере одну копию бекапа ваших приватных ключей и revocation сертификат в защищенном хранилище, например флешке.