Security - Аюулгүй байдал

Хэрхэн мэдээллийн аюулгүй байдлыг хангаж ажиллах, мөрдөх дүрмүүд.

Нууц үг

• Бүх нууц үгийг "1Password" програмд хадгалах.
• Бүх нууц үг дахин давтагдашгүй байх. Нууц үгийг дахин ашиглахгүй байх.
• Хэрэв гуравдагч сервисүүд "Two-factor authentication" дэмждэг бол түүнийг идэвхижүүлэн ашиглах.

Вэб аппликейншн

• Бүх "http" траффик "SSL" холболт ашиглах.
• Бүх форм ууд "CSRF" токен ашиглаж "Cross Site Scripting (XSS)" -с сэргийлэх.
• "RESTFul" сервисийн хувьд, нэн чухал үйлдэл (update, delete, ...) - үүдэд харгалзах зөв "method" (DELETE, POST, PUT) (not GET) ашиглах.
• Системийн нэвтрэх, таньж баталгаажуулах, эрх олгох (authorization/authentication) функуудийн хувьд "aвтомат" тестүүдийг хэрэглэгчийн эрх үүрэг бүрийн хувьд бичих.

Өгөгдлийн сан

• Бүх нууц үг "hash" ашиглаж шифрлэх.
• Хэрвээ "API key" үүд нь өгөгдлийн санд хадгалагдаж байгаа бол мөн шифрлэх.
• Өгөгдлийн сан бүр өөр өөрийн тусдаа хэрэглэгчтэй байх (нэг хэрэглэгч олон баазруу ханддаггүй байх). Мөн "унших, бичих" эрхийг хэрэглэгч бүрийн хувьд тохируулах.
• Өгөгдлийн сангийн серверлүү зөвхөн "зөвшөөрсөн" хостноос ханддаг байдлаар тохируулах (whitelisted host).

Сервер

• Системүүдийн хамгийн сүүлийн хувилбаруудыг ашиглах (Nginx, PHP, Ubuntu, Nodejs, Go ...).
• SSH хандалтын хувьд "Private key" ашиглах. "Password Authentication" ийг идэвхигүй болгох.
• "unattended-upgrades" package - ууд нь автоматаар "security update" хийдэг байх (Not manual).
• "Firewall" дээр зөвхөн зөвшөөрөгдсөн порт уудыг нээх (ихэвчлэн 22 болох 443)