Yayınlanacak web sitesinin güvenliği nasıl sağlanabilir?

bnrks

bnrks

Hectopat
Katılım
23 Haziran 2020
Mesajlar
55
Daha fazla  
Cinsiyet
Erkek
Meslek
Öğrenci
Bir süredir web üzerinde ilerliyorum. Okuduğum fakültenin sitesini yapmak için gönüllü oldum. Siteyi bitirdik fakat pek tecrübeli olmadığımız için güvenliğini nasıl sağlayacağımızı bilmiyoruz. Kulüp etkinlikleri gibi şeyler için Firebase kullanıyoruz. Firebase'i JS ile kullandık. API key gibi şeyleri nasıl gizleriz? Bilen varsa çok iyi olur hem tecrübelenmiş oluruz.
 
Son düzenleyen: Moderatör:
Öncelikle http headerlarını düzgün bir şekilde ayarlamanız gerekiyor. Bu konuda Analyse your HTTP response headers sitesinden faydalanabilirsiniz. Connection string, api key vs. gibi secretları Azure Key vault gibi şifreli ve güvenli secret managerlarda tutabilirsiniz (ücretli). Yanlış anlamadıysam kurumsal bir proje, eğer bütçe çıkıyorsa güvenlik için siz yine de bir pentest şirketine test yaptırın.
 
Hocam önerileriniz çok güzel fakat bunları yapacak bütçe verirler mi bilmiyorum. Bizim aradığımız çözüm daha çok bizim yapabileceğimiz şeyler. İnternetten biraz araştırdım, SSL sertifikası gibi çözümleri gördüm. Bu yeterli olur mu acaba? Ya da secretları şifrelesek?
delikarga dedi:
Öncelikle http headerlarını düzgün bir şekilde ayarlamanız gerekiyor. Bu konuda Analyse your HTTP response headers sitesinden faydalanabilirsiniz. Connection string, api key vs. gibi secretları Azure Key vault gibi şifreli ve güvenli secret managerlarda tutabilirsiniz (ücretli). Yanlış anlamadıysam kurumsal bir proje, eğer bütçe çıkıyorsa güvenlik için siz yine de bir pentest şirketine test yaptırın.
Genişletmek için tıkla...
 
SSL sertifikası kesin kullanın zaten. Hem güvenlik hem de SEO açısından önemli. Lets encrypt veya cloudflare kullanabilirsiniz. Bunlar ücretsiz SSL sağlıyorlar. Ücretsiz olarak yapabileceklerinizi SSL sertifikası, zorunlu https yönlendirme, sunucu kapasiteniz çok güçlü değilse ddos saldırılarından korunmak için cloudflare gibi servislerden yararlanabilirsiniz, http headerlarını (örneğin csp) ayarlamak gibi sayabilirim. Nodejs konusunsa çok bilgi sahibi olmadığım için secret yönetimi konusunda bir şey söyleyemem. İnternette araştırabilirsiniz.
 
delikarga dedi:
SSL sertifikası kesin kullanın zaten. Hem güvenlik hem de SEO açısından önemli. Lets encrypt veya Cloudflare kullanabilirsiniz. Bunlar ücretsiz SSL sağlıyorlar. Ücretsiz olarak yapabileceklerinizi SSL sertifikası, zorunlu HTTPS yönlendirme, sunucu kapasiteniz çok güçlü değilse DDoS saldırılarından korunmak için Cloudflare gibi servislerden yararlanabilirsiniz, HTTP headerlarını (örneğin csp) ayarlamak gibi sayabilirim. Node.js konusunsa çok bilgi sahibi olmadığım için secret yönetimi konusunda bir şey söyleyemem. İnternette araştırabilirsiniz.
Genişletmek için tıkla...

Teşekkürler dediklerinizi araştıracağım.
 
SSL olmazsa olmazlardan. @delikarga arkadaşında dediği gibi Cloudflare kullanmak ddos saldırılarından korur. Ayrıca cdn özelliğini de kullanırsınız. Hoş olur.

Secret keyleri kesinlikle gizlemeniz gerekiyor. Firebase içeriği View tarafında gözüküyor ise büyük bir sorununuz var demektir. Server Side Rendering (SSR) yapmalısın.

SSR yaptığınızda secret keyler View tarafında gözükmeyecektir.

Projede ne kullandığınızı söylerseniz ona göre kodsal öneri sunabilirim.
 
RaSGooL dedi:
SSL olmazsa olmazlardan. @delikarga arkadaşında dediği gibi Cloudflare kullanmak DDoS saldırılarından korur. Ayrıca CDN özelliğini de kullanırsınız. Hoş olur.

Secret keyleri kesinlikle gizlemeniz gerekiyor. Firebase içeriği View tarafında gözüküyor ise büyük bir sorununuz var demektir. Server Side Rendering (SSR) yapmalısın.

SSR yaptığınızda secret keyler View tarafında gözükmeyecektir.

Projede ne kullandığınızı söylerseniz ona göre kodsal öneri sunabilirim.
Genişletmek için tıkla...

Vallahi hocam basit bir proje oldu açıkçası o yüzden çok bir şey kullanmadık. Acemi oldğumuz için bu tür zorluklarla karşılaştık. Şu anda hiçbir servis satın almadık. Tahminimce ucuz bir şey seçmemizi isterler zaten. Site çok kompleks değil sadece Firebase e erişilmesini engellemek istiyoruz. Siteyi bildiğimiz HTML CSS ve JS ile yazdık. Daha önce Flutter için firebase kullanan arkadaşım yardım etti. Dediğim gibi çok güvenlikli bir şeye ihtiyacımız yok. Basit önlemler alsak yeter beklentileri çok değil. O yüzden bize ek masraf çıkarabilecek şeylerden kaçınmak istiyoruz biraz.
 
Kurumsal bir işe neden az tecrübe ile giriyorsunuz? Veriler çalınırsa herkes sizi parmakla gösterecek biliyorsunuz değil mi?
 
pottie4r dedi:
Kurumsal bir işe neden az tecrübe ile giriyorsunuz? Veriler çalınırsa herkes sizi parmakla gösterecek biliyorsunuz değil
Genişletmek için tıkla...

Çalınmasın diye buraya post açtım zaten. Ha çalabileceği veriler zaten en fazla kullanıcının telefon numarası olur. T.C. kimlik falan istemiyoruz yani :D
 

Benzer konular

M
  • Kilitli
Web Sitesinin Aynısını Kopyalamak
Mesaj
2
Görüntüleme
1B
SypeR
SypeR
Gustave Le Boon
Web sayfası güvenliği
Mesaj
1
Görüntüleme
343
Mucosoft
Mucosoft
E
Bir web sitesinin HTML kodlarını ve medyalarını nasıl indirilir?
Mesaj
7
Görüntüleme
578
keremgencer
K
khalannz7
MVC ile yazılan web sitesinin canlıya geçmesi
Mesaj
8
Görüntüleme
164
khalannz7
khalannz7
ShadowFighter
Yaptığım chat sitesinin görünümü nasıl olmuş?
2 3
Mesaj
28
Görüntüleme
1B
ezikbüzükadam
ezikbüzükadam

Yeni konular

Yeni mesajlar

Geri
Yukarı