任何解决方案都存在安全风险。你可以使用经过多年验证的工具,但仍有可能被黑客攻击(根据我的经验)。而你也可以花费大量资金购买安全解决方案,却永远不会被攻击。因此,你需要始终比较努力和影响。
基本上,你需要保护你的情况下的4个“门”:
1. 授权(密码拦截或例如不正确使用cookie)
2. http协议
3. 应用程序输入
4. 访问数据库的其他方式(例如不使用http,通过具有弱密码的ssh端口,获取计算机或硬盘等。在某些情况下,你需要适当加密卷)
1和4不是特定于Prolog的,但在本地服务器的情况下,4是唯一具有特定性的。
保护http协议级别意味着不允许可以控制你的swi-prolog服务器的请求。出于这个目的,我建议安装一些反向代理,如nginx,它可以防止在这个级别上的攻击,包括某些类型的DoS。因此,浏览器将联系nginx,如果是正确的http请求,则nginx将重定向请求到您的服务器。如果它具有类似功能,则可以使用任何其他服务器代替nginx。
你需要安装适当的ssl密钥,并在反向代理服务器中允许ssl(https)。它不应该在你的swi-prolog服务器中。Https将加密所有信息,并通过http与swi-prolog通信。
考虑授权。有些方法很容易被破解。你需要学习这个主题,有很多信息。我认为这是最重要的部分。
应用程序输入问题 - 著名的例子是“SQL注入”。学习一下例子。所有好的Web框架都有“entry”过程来清除所有可能的注入。使用现有代码并使用Prolog重新编写它。此外,请测试所有输入字段,包括非常长的字符串、不同的字符集等。
你可以看到,安全性并不容易,但你可以选择适当的努力,考虑黑客攻击的影响。
另外,请考虑可能的攻击者。如果有人特别感兴趣获取你的信息,则所有提到的方法都很好。但这可能是一个罕见的情况。大多数黑客只会扫描互联网,并尝试对所有发现的服务器应用已知的黑客攻击。在这种情况下,你最好的朋友应该是Honey-Pots和Prolog本身,因为黑客对swi-prolog内部的兴趣概率极低。(黑客需要仔细研究服务器代码才能找到一个门)。
因此,我认为你会找到适当的方法来保护所有敏感数据。但请不要使用字典单词组合密码,并且同一个密码不能用于多个目的,这是安全的最重要规则。出于同样的原因,你不应该让用户访问所有信息,而应该在应用程序级别设计保护。
对于本地服务器特定的情况,良好的防火墙、适当的网络设置和加密硬盘分区(如果你的本地服务器可能被“黑客”盗取)都是必要的。
但是,如果你的意思是应用程序只能从你的本地网络访问而不能从互联网访问,则需要更少的努力,主要需要检查路由器/防火墙设置和我的列表
如果你只有很少的已知用户,你可以建议他们使用VPN来访问,而不需要像“全球”访问那样保护你的服务器。
