Предложение по совместному созданию стандарта безопасности для Web приложений (сайтов)

Question

[cat_crash]

Доброго дня, хабрасообщество

Есть ли у общественности интерес к совместному созданию стандарта безопасности для Web приложений (сайтов)?

На самом деле уже есть готовый написаный топик на эту тему, но разместить не могу — не хватает кармы. Если Вам интересно участие — был бы благодарен за карму, позволившую бы мне разместить топик.

P.s. то что зарабатывать карму надо «кровью и потом» я прекрасно знаю. Увы вынужден прибегнуть к «попрошайничеству»

Comments

[cat_crash]

По просьбе вот начало топика, собственно тут вся идея. За кадром остались предложения по организации работы с черновой версией

В последнее время тщательно слежу за тем что происходит в интернете в плане безопасности данных и порой становится страшно, что занося какие либо данные в любой из органов, банков — твоя информация может стать доступна широкой аудитории Интернет пользователей. Более того моя текущая работа связанна с аудитом сайтов и веб систем на предмет наличия возможных уязвимостей, в первую очередь даже не программных (хотя именно это любимая часть и кландайк для злодеев) но и логических — и могу авторитетно заявить что большинство сайтов, проходящих через меня имеют критические или серьезные проблемы. А через меня проходят Web приложения крупных организаций, имена которых у всех на слуху.

Долгие вечера сидя за чашкой кофия, и разбирая и описывая очередную уязвимость на сайте я чаще ловил себя на мысли, что мир мог бы быть защищенней, безопасней, чище если бы…

… если бы разработчики были не только разработчиками, но еще и аналитиками, менеджерами по ИТ безопасности… но мир не идеален, и каждый должен заниматься тем что у него получается лучше. Может они и готовы, но им тяжело разобраться в возможных угрозах, коих с каждым днем становится больше. На них давит менеджер проекта сроками, а заказчик кричит что этот функционал они должны были видеть на прошлой неделе. Какая уж тут проверка регулярными выражениями входных данных?

Можно до бесконечности аргументировать благими намерениями свои действия, ровно так же как сочинять мотивы — анти-аргументы, а можно взять и сделать…

Итак о чем это я… а все просто — я о том что хорошо бы поиметь какой нибудь стандарт\гайдлайн\чеклист для разработчиков, организаций, которые бы могли воспользоваться им, и убедиться что их сайт как минимум не содержит банальных ошибок проектирования, обработки данных, хранения и передачи. Стандарт в моем понимании должен покрывать аспекты, связанные с непрерывной работой сайта. Так например Хостинг, DNS сервера и даже пользователи сайта — все должно быть учтено.

[Василий]

В общем идея хорошая, но как вы видите ее реализацию? Вики?

[cat_crash]

На вики можно будет выкладывать готовый вариант реализации. Черновую версию можно делать в Google Docs. Как то примерно так вижу

[Василий]

Google Docs не катит. Лучше что-то типа trac.

[Kindman]

Блин, что за фигня: Вики..., Доки… Кто мешает прям тут на Хабре и публиковаться?
Можно прям в блоге «Q&A» и выкладывать любые черновики для публичного обсуждения.

[cat_crash]

Как вы представляете коллективную работу над содержанием используя хабр? Например банальная вещь — история изменений в документе… когда и кем был изменен пункт стандарта.

Answer 1

[Василий]

Мне кажется больше будет смысла и эффекта (и кармы) если будет вы хотя бы примерно опишете свои мысли по этому. Как пример можно просто выложить часть топика — если это интересно — мне кажется карма будет.