Задать вопрос

Где описаны стандарты безопасности в веб-приложениях?

Доброго утра.

Буду очень признателен вам, если подскажите мне какие существуют стандарты связанные с информационной безопасностью для систем интернет-банкинг.

У меня есть некоторые задачи которые я хотел бы решить согласно стандартам безопасности.

1) в ВЕБ в форме авторизации можно ли ставить птичку "запомнить логин и пароль"
2) в ВЕБ в форме авторизации можно ли ставить птичку "запомнить логин"

3) нужно ли хранить ИП-адреса с которых были произведены авторизации

4) Нужно ли назначать expiration time для Токенов, которые выдаются для авторизации в мобильных приложениях iOS и Android?

5) если клиент совершает "LOGOUT" в мобильном приложении, убивать ВСЕ токены для этого клиента?

6) Показывать в кабинете пользователя выданные токены, время выдачи и дату последнего использования?

Токен выдается при попытке авторизоваться в мобильном приложении, при условии что посланный логин и пароль корректный.
  • Вопрос задан
  • 1334 просмотра
Подписаться 19 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 6
@g00dv1n
OWASP
Ответ написан
Комментировать
sim3x
@sim3x
1) в ВЕБ в форме авторизации можно ли ставить птичку "запомнить логин и пароль"
2) в ВЕБ в форме авторизации можно ли ставить птичку "запомнить логин"
нет, если захочет, то хром/фокс спросят пользователя

3) нужно ли хранить ИП-адреса с которых были произведены авторизации
стоит. Если ты работаешь с деньгами - обязательно. Старайся не работать с деньгами без толкового TL, у которого можно уточнить детали

4) Нужно ли назначать expiration time для Токенов, которые выдаются для авторизации в мобильных приложениях iOS и Android?
стоит. Но бизнесс-процесс ты можешь такой безопасностью нарушить. Лучше используй доп запрос пароля - токена при отдельных операциях

5) если клиент совершает "LOGOUT" в мобильном приложении, убивать ВСЕ токены для этого клиента?
лучше спросить клиента отдельно. Установку по-умолчанию согласовать с заказчиком

6) Показывать в кабинете пользователя выданные токены, время выдачи и дату последнего использования?
стоит. Если оперируешь с деньгами - обязательно
Ответ написан
akubintsev
@akubintsev
Опытный backend разработчик
Если речь идёт об интернет-банкинге, то прежде всего надо отталкиваться от PCI DSS.
Ответ написан
Комментировать
ulkoart
@ulkoart
Можно начать с ISO 2700*, а дальше уже по обстоятельствам.
Ответ написан
Комментировать
kumaxim
@kumaxim
Web-программист
Первое - смотрите нормативные документы ЦБ. Прямо открывайте сайт cbr.ru(что нашел за 5 минут поиска).
Далее, многострадальный 152-ФЗ "О персональных данных"
Также не забываем про РД СВТ и РД АС(если писать код будите)

PСI DSS - стандарт платежных систем Visa/MasterCard. Если у Вас банк с карточками не работает(например Вы только с расчетными счетами юр.лиц работаете), то он Вам не нужен.
Ответ написан
Комментировать
@DaNHell
Change the world
owasp
коротко, понятно и "со вкусом"
https://www.owasp.org/index.php/REST_Security_Chea...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы