¿Cuáles son las características de seguridad más importantes que debe ofrecer un CMS basado en web? ¿Qué es vital? ¿Qué sería bueno tener? ¿Qué características no debe intentar hacer el CMS?
Tenga en cuenta: estoy buscando más funciones específicas que mejoren la seguridad en lugar de los conceptos básicos, como validación de entrada, escape de entrada y salida, protección XSS, prevención de inyección SQL, no mostrar errores, etc.
Sé que no se usa mucho, pero siempre he pensado que sería una buena característica para un usuario poder cargar su clave pública PGP para que los correos electrónicos generados por el CMS se puedan cifrar. De manera similar, cualquier contraseña generada que se envíe por correo electrónico debe tener un solo uso por tiempo limitado (es decir, la contraseña le permite al usuario iniciar sesión durante 24 horas y luego tienen que cambiar su contraseña)
Actualizado: estuve despierto anoche y, por alguna razón, este tema volvió a surgir en mi cabeza. Cualquier inicio de sesión debe ser HTTP Digest Authentication o un inicio de sesión basado en formulario con HMAC del lado del cliente si no se puede usar SSL. Las acciones de autenticación básica y contraseña sin procesar son un no-no!
Lea otras preguntas en las etiquetas web-application appsec php
