我的保護網絡應用程序的計劃：有沒有漏洞？

Question

我爲一個客戶端開發了一個CodeIgniter項目跟蹤應用程序，該應用程序位於公共URL上，但是被私人使用。它包含一個簡單的REST API，專門用於Dashboard Widget和Cocoa菜單欄應用程序，儘管它稍後會增長。

最初是爲一個小團隊設計的，該應用程序將在（大）公司內更廣泛地使用。我的計劃是成長並保護它...

1. 評估流量需求，項目資源使用情況以及相應的擴展託管。
2. 僅依靠HTTPS併購買體面的SSL證書。
3. 要求對REST API進行認證。
4. 積極監控濫用情況並制定黑名單（或多個）。

是否有任何明顯的問題需要解決或最佳實踐遵循這樣的私人/公共應用程序？

Answer 1

這是一個相當廣泛的問題。有幾個複雜的方面。

SSL好;考慮啓用CI's CSFR protection

鎖定您的服務器。如果你不需要它們，請關閉電子郵件和ftp等端口。 Google提供教程或根據您的操作系統提出具體問題。

的基於表單的身份驗證的東西一個偉大的指南：The definitive guide to form-based website authentication

確保您的權限如何你想他們。例如保密私人事物。設計授予和撤銷訪問權限的政策。