Cerco un Consulto informatico su progettazione Sito Web Aste

di il
5 risposte

Cerco un Consulto informatico su progettazione Sito Web Aste

Salve mi frullava per la testa un idea leggermente bizzarra quanto interessante, basata sulla creazione di un sito di aste, sto cercando di crearci uno studio sopra e cercando di capire i costi per un piano di azione.
Cerco un programmatore specializzato in sicurezza informatica per avere qualche delucidazione.

Un consulto generico su possibili linguaggi di programmazione da utilizzare all'interno di un sito e la possibilità di manomissione da parte degli utenti di tali codici, informazioni sulla gestione dei pagamenti online, gestione dei dati.. e tutto ciò che può essere legato a un sito legato alle aste tipo eBay. Sono qui per informarmi e avere forse qualche risposta alle mie numerose domande quindi qualsiasi vostro consiglio mi potrebbe essere d'aiuto.
Grazie

Potete anche contattarmi tramite
Skype: giovanniriga
Facebook: /giovannirigacs

5 Risposte

  • Re: Cerco un Consulto informatico su progettazione Sito Web Aste

    Ciao ultrasound91, prima di tutto ti ringrazio per la tua risposta. Elenco di seguito una serie di domande per entrare nello specifico. Ringrazio in anticipo chiunque risponderà.
    • 1) Per quanto riguarda la creazione del sito mi interesserebbe sapere quanta gente si potrebbe impegnare o meglio, mi basta un coder assassino che sia in grado in 5 mesi di crearmi una base del sito o è necessario un team di sviluppo? Se è necessario un team di sviluppo, come può essere composto questo team? Quanta gente è necessaria? Le loro funzioni? Prezzi medi per singolo ruolo?

      2) Cosa intendi? La sicurezza viene legata unicamente alle righe di codice che vengono scritte e tutta la sicurezza sta nel modo in cui vengono criptate? Per quanto riguarda la sicurezza dei database?
      La sicurezza in questo caso dipenderebbe unicamente da PHP e MYSQL.
      3) Quali possono essere i modi di manomissione per manomettere od ottenere dati sensibili dal sito? Come è possibile difenderci?

      4) Ho sentito parlare di certificazioni in HTTP e HTTPS, quali possono essere i Pro e i Contro dell'uno e dell'altro?
  • Re: Cerco un Consulto informatico su progettazione Sito Web Aste

    39ro ha scritto:


    Ciao ultrasound91, prima di tutto ti ringrazio per la tua risposta. Elenco di seguito una serie di domande per entrare nello specifico. Ringrazio in anticipo chiunque risponderà.
    • 1) Per quanto riguarda la creazione del sito mi interesserebbe sapere quanta gente si potrebbe impegnare o meglio, mi basta un coder assassino che sia in grado in 5 mesi di crearmi una base del sito o è necessario un team di sviluppo? Se è necessario un team di sviluppo, come può essere composto questo team? Quanta gente è necessaria? Le loro funzioni? Prezzi medi per singolo ruolo?

      2) Cosa intendi? La sicurezza viene legata unicamente alle righe di codice che vengono scritte e tutta la sicurezza sta nel modo in cui vengono criptate? Per quanto riguarda la sicurezza dei database?
      La sicurezza in questo caso dipenderebbe unicamente da PHP e MYSQL.
      3) Quali possono essere i modi di manomissione per manomettere od ottenere dati sensibili dal sito? Come è possibile difenderci?

      4) Ho sentito parlare di certificazioni in HTTP e HTTPS, quali possono essere i Pro e i Contro dell'uno e dell'altro?
    1. Alcuni moduli (tipo registrazione/login, gestione pagamenti online) possono essere riciclati da CMS (Content Management Systems) per e-commerce; in ogni caso, vista la delicatezza del progetto e i tempi richiesti, servirebbero almeno un programmatore per il front-end (l'interfaccia) e uno per il back-end (database e logica). Meglio ancora sarebbe avere una terza persona specializzata in database;

    2. Non dipende solo da php e mysql. Bisogna anche garantire che le informazioni trasmesse tra utenti e sistema e viceversa non possano essere intercettate e lette. Vedi punto 4. Php e mysql servono principalmente per il punto 3;

    3. Si può (e si deve) agire a vari livelli. Innanzitutto serve una procedura di login robusta, che non possa essere aggirata inserendo codici particolari nei campi (SQL injection) o con attacchi brute-force (provando tutte le username e le password possibili); la SQL injection va ovviamente prevenuta anche all'interno del sito, a valle del login. Poi sarebbe bene che gli utenti loggati non abbiano la possibilità di eseguire determinati tipi di query sul database (e questo si fa settando i privilegi dell'utente del database che viene usato per le connessioni dal sito).Infine si possono memorizzare dati aggiuntivi per ogni connessione (IP, timestamp login/logout, tentativi di inserimento password, ecc.) su cui si possono usare varie tecniche, tra cui tecniche di data mining, per cercare di trovare in automatico utenti malevoli;

    4. HTTPS cripta tutte le informazioni trasferite tra utente e server e viceversa (a livello applicazione), per cui in generale è da preferire (forse aumenta un po' la quantità di dati trasferita, ma in genere non è un problema). Se bisognasse criptare solo la password si potrebbe fare anche con http, magari implementando un meccanismo di autenticazione a sfida, ma sarebbe inutilmente laborioso e comunque non cripterebbe il resto.
  • Re: Cerco un Consulto informatico su progettazione Sito Web Aste

    Vedo idee... un pochino confuse

    39ro ha scritto:


    • 1) Per quanto riguarda la creazione del sito mi interesserebbe sapere quanta gente si potrebbe impegnare o meglio, mi basta un coder assassino che sia in grado in 5 mesi di crearmi una base del sito o è necessario un team di sviluppo? Se è necessario un team di sviluppo, come può essere composto questo team? Quanta gente è necessaria? Le loro funzioni? Prezzi medi per singolo ruolo?
    Dipende ovviamente dalla differenza tra (mi verrebbe da dire) bimbominkia o assimilabile fino a livello-Guru.
    Nel primo caso spesso basta una ciotola di riso, nel secondo la tariffa è tipicamente nell'ordine di 1.000 euro al giorno (oltre IVA, ovviamente)
    2) Cosa intendi? La sicurezza viene legata unicamente alle righe di codice che vengono scritte e tutta la sicurezza sta nel modo in cui vengono criptate? Per quanto riguarda la sicurezza dei database?
    La sicurezza in questo caso dipenderebbe unicamente da PHP e MYSQL.
    Non c'entra praticamente una ceppa mysql. O meglio si può usare la versione 10.1 di mariadb per criptare il database, in modo che accedendo da locale (senza avere il file con la password, che si presume mantenuto su altro server) non si possano leggere i dati.
    Riguarda tutto PHP
    3) Quali possono essere i modi di manomissione per manomettere od ottenere dati sensibili dal sito? Come è possibile difenderci?
    Ce ne sono 1.000 (ecco la differenza tra il "bimbominkia" e il vero professionista).
    4) Ho sentito parlare di certificazioni in HTTP e HTTPS, quali possono essere i Pro e i Contro dell'uno e dell'altro?
    [/list]
    https richiede essenzialmente il pagamento di un TOT annuo, che parte dai 50 ai 500 euro (alla grossa) a seconda del tipo di certificato, della sua "verdinabilità", estensione a sottodomini e chi più ne ha ne metta (cuttone).
    Inoltre è molto difficile avere più siti https per il medesimo IP (vabbè anche qui ho messo un cuttone gigantesco), ma questo in generale non è un grosso problema se hai 1 singolo sito da gestire (lo è se vuoi hostarne tanti)
  • Re: Cerco un Consulto informatico su progettazione Sito Web Aste

    dvaosta ha scritto:


    1. Alcuni moduli (tipo registrazione/login, gestione pagamenti online) possono essere riciclati da CMS (Content Management Systems) per e-commerce(...)
    Ma direi anche no, se si vuol fare un sistema creato da zero.
    Ovviamente ci vuole la competenza per evitare voragini gigantesche di sicurezza.
    2. Non dipende solo da php e mysql. Bisogna anche garantire che le informazioni trasmesse tra utenti e sistema e viceversa non possano essere intercettate e lette. Vedi punto 4. Php e mysql servono principalmente per il punto 3;
    Mysql come detto non c'entra nulla, a parte la possibilità di un accesso diretto al server
    3. Si può (e si deve) agire a vari livelli. Innanzitutto serve una procedura di login robusta(...)
    Tutta "roba" normale
    4. HTTPS cripta tutte le informazioni trasferite tra utente e server e viceversa (a livello applicazione), per cui in generale è da preferire (forse aumenta un po' la quantità di dati trasferita, ma in genere non è un problema). Se bisognasse criptare solo la password si potrebbe fare anche con http, magari implementando un meccanismo di autenticazione a sfida, ma sarebbe inutilmente laborioso e comunque non cripterebbe il resto.
    ??? L'utilizzo essenzialmente riguarda la situazione in cui si usano connessioni non trustate (aeroporto, università, ristorante e così via).
    In questo caso l'uso di http rende banale intercettare la password da parte di chiunque gestisce l'access point.
    Quindi SE si presuppone che gli utenti utilizzini connessioni ubique, ALLORA è pressochè obbligatorio.
  • Re: Cerco un Consulto informatico su progettazione Sito Web Aste

    Ovviamente si può rifare tutto da 0. Io semplicemente volevo accennare alla possibilità di riciclare software già esistente.
Devi accedere o registrarti per scrivere nel forum
5 risposte