¿Cómo podría mejorarse la seguridad en Quora?

La seguridad de la información debe ser un proceso repetible y deben implementarse medidas de seguridad efectivas “razonables”, tales como:

1. Asegúrese de que el sitio web http://quora.com se someta periódicamente a pruebas rigurosas de aplicaciones web, tanto de forma manual como automática, y corrija las vulnerabilidades críticas. Utilice las herramientas de aplicaciones web estándar de la industria y escanee contra las 10 mejores prácticas de seguridad de la industria de OWASP para vulnerabilidades como XSS, mensajes de error detallados, etc.
2. Asegúrese de que la seguridad de su plataforma cuente con el último software AV que se ejecuta realizando actualizaciones de seguridad periódicas
3. Diseñe la infraestructura de forma segura de acuerdo con los principios conocidos de defensa en profundidad
4. Asegúrese de que http://www.quora.com esté efectivamente protegido contra ataques DDoS por disponibilidad
5. SSL en todas partes (requiere que todas las páginas utilizadas en Quora sean SSL); Cuando se usa SSL, asegúrese de que se esté utilizando la última versión de SSL -SSLv3. También asegúrese de que los cifrados criptográficos estén encriptados utilizando algoritmos estándar de la industria.
5. Monitorear constantemente contra los vectores de amenazas y ataques conocidos de la industria y mejorar el modelo de seguridad
6. Realice el modelado de amenazas contra la aplicación (como promocionar / agregar créditos para un usuario (sin aprobación) o Controlar los correos electrónicos no deseados / phishing / virus en los blogs / publicaciones)

A raíz de las infracciones de seguridad de WordPress y Snapchat, estoy muy seguro de que Quora incorporará estas prácticas de seguridad.

Related Content

¿Qué es un ingeniero de seguridad?

¿Es posible que la NSA haya estado explotando el error 'heartbleed' todo el tiempo?

¿Cuáles son algunas pautas para hacer una buena contraseña?

¿Qué se considera conocimiento poco común sobre seguridad cibernética más allá de algunos de los hechos más conocidos en 2016?

¿Cómo se protege el ancho de banda de radio de los atacantes?

  • Utilice mensajes de error de autenticación menos específicos, por ejemplo, “Correo electrónico o contraseña incorrectos” en lugar de “No se encontró una cuenta para esta dirección de correo electrónico” o “Contraseña incorrecta”.
  • No muestre ningún detalle sobre el usuario correspondiente a una dirección de correo electrónico antes de iniciar sesión.
  • Permita el uso totalmente encriptado del sitio, es decir, permita que todos los recursos del sitio sean accesibles a través de SSL (actualmente la página nunca es completamente segura ya que algunos recursos están vinculados con http en lugar de https).
  • Si se implementa el punto anterior, requiera el uso de SSL cuando se conecte a Quora.
Andrew Lemke

Quora debería realizar una auditoría completa y una evaluación de seguridad, no solo del producto, sino también de los procesos, la infraestructura, la metodología de desarrollo, el código en sí mismo, básicamente todo. Una vez que Quora obtiene un informe completo, puede decidir sobre los elementos de acción en función del apetito por el riesgo.

Sai Ramanan

More Interesting

¿Por qué no necesito un antivirus mientras uso Linux?

¿Se puede obtener un virus informático al navegar por la red?

Cómo usar Wireshark para detectar amenazas

¿Cuáles son algunos eventos, tecnologías o desarrollos interesantes / significativos en ciberseguridad?

¿Es Bitcoin una forma segura de pagar a través de Internet?

Cómo equilibrar el riesgo inherente de ciber ofensivo

¿Hay alguna CSO o CIO que esté preocupada por la seguridad de Internet de su empresa?

¿Qué tan seguro es FaceTime?

¿Hay alguna diferencia entre malware y virus?

¿Cuáles son algunos proyectos de redes?

¿Pudo el FBI identificar los correos electrónicos de Paula Broadwell, Kelley y Petraeus sin una orden judicial?

¿Tiene alguna sugerencia para escribir SOP para una Maestría en Seguridad Cibernética? ¿Cómo retrato mis experiencias laborales y la experiencia de Bug Bounty?

¿La declaración del FBI que detalla cómo los piratas informáticos de Sony 'se desmayaron' convence a las personas que son escépticas de que Corea del Norte estuvo involucrada en los ataques cibernéticos?

¿Una computadora con todos los puertos cerrados es invulnerable a los ataques de Internet?

En un modelo de confianza, el control de acceso mantiene a los bancos seguros, pero en bitcoin se utiliza la prueba de trabajo (POW) para la seguridad. ¿Cómo es POW mejor que el control de acceso?