Diseñar e implementar un sistema seguro de pagos con API RESTful

Navega tus respuestas
0

Quiero diseñar e implementar un sistema de pagos (no manejaré los pagos con tarjeta de crédito). El sistema tendrá una API RESTful. Ya estoy familiarizado con los servicios REST, y he construido algunos en mi tiempo.

Sin embargo, esta vez, la seguridad es de suma importancia y quiero un sistema que sea tan robusto contra ataques externos, como cualquier otra cosa (por ejemplo, Paypal).

A mi modo de ver, hay dos puntos de ataque: 

The physical machines (servers) and the network they reside on
Attacks via the exposed RESTful API (man in the middle attacks, snooping etc).

Paypal, que es un modelo de lo que quiero replicar, proporciona una API RESTful, utilizando OAuth, etc., así que sé que es posible proporcionar una API RESTFul segura para datos confidenciales.

Así que mi pregunta básicamente se descompone en las siguientes dos preguntas:

A. ¿Qué tecnologías / prácticas emplean empresas como Paypal para garantizar que sus máquinas no sean pirateadas o comprometidas?

B. ¿Es OAuth el camino a seguir para presentar una interfaz segura para el mundo? - ¿O puede mejorarse?

    
pregunta Homunculus Reticulli 22.07.2014 - 13:01
fuente

1 respuesta

-1

Podría pensar que su proyecto difiere de un sistema de gestión de contenido decente. Pero en realidad no lo es. Debe reforzar lo que es primordial para cada proyecto de software: pruebas y alta calidad de código. La seguridad no solo está sujeta a la API en sí, sino también al software subyacente.

Un buen comienzo es usar un lenguaje de programación que obligue a un sistema de tipo estático. A continuación, realice un exceso de pruebas funcionales y de unidad. Especialmente lo que sucede si el cliente no se comporta de la manera prevista. Entonces puedes hacer un pentesting.

Esas estrategias se aplican a una aplicación de alta seguridad, así como a una pequeña aplicación como un CMS. También sugeriría un lenguaje como Java con un compilador. Por lo tanto, si introduce alguna incoherencia en el código, se interrumpirá el proceso de compilación.

Es probable que el servidor en sí esté protegido como cualquier servidor más grande. Pero esa no es mi mejor experiencia.

¿Lo ves? Nada nuevo y elegante aquí ...

    
respondido por el Max 22.07.2014 - 14:51
fuente

Lea otras preguntas en las etiquetas

Robo de cookies, ¿qué impide que un AP inalámbrico deshonesto robe las cookies del sitio web? ¿Puede usar la aplicación de autenticación de Google cuando Google "se asegura de que realmente es usted"?