Saku Laesvuori 33661d5716 | ||
---|---|---|
Client | ||
Server | ||
db | ||
COPYING.md | ||
Client.hs | ||
PrintSchema.hs | ||
README.md | ||
Server.hs | ||
Setup.hs | ||
datarekisteri.cabal | ||
guix.scm | ||
schema.gql |
README.md
Datarekisteri – Datat RY:n jäsenrekisteri
Datayhdistyksen jäsenrekisterin lähdekoodi. Tavoitteena on saada
mahdollisimman paljon toiminnallisuudesta abstraktoitua ja siirrettyä rekisteri
:iin.
Käänteisen välityspalvelimen asetukset
Käänteisen välityspalvelimen pitäisi määritellä CSP estämään kaikkien skriptien ajaminen, koska datarekisterin ei tarvitse ajaa koodia käyttäjän laitteella. Content-Type-Options estää selaimia tulkitsemasta tiedostoja virheellisesti skripteiksi tai tyylitiedostoiksi.
Content-Security-Policy: default-src 'self'; scrip-src 'none'; object-src 'none' X-Content-Type-Options: nosniff
Käänteisen välityspalvelimen pitää myös pakottaa kaikki liikenne kulkemaan https:n yli uudelleenohjaamalla kaikki http-kyselyt ja asettamalla Strict-Transport-Security otsikon.
Palvelunestohyökkäyksiltä suojautuminen
Datarekisteri ei vielä tee itse mitään palvelunestohyökkäysten
varalta. Määritä vähintään jokin nopeusrajoitus kyselyille. Alla oleva
esimerkki rajoittaa tcp-yhteyksien avaamisnopeutta. Kannattaa lisätä
jokin oikoreitti palvelimelle itselleen, esim.
$ iptables -A INPUT -s 127.0.0.1 -j ACCEPT
ennen
nopeusrajoitusta.
$ iptables -A INPUT -p tcp -m tcp --syn -m hashlimit \ --hashlimit-upto 10/sec --hashlimit-burst 10 --hashlimit-mode srcip,dstport \ --hashlimit-name conn-srcip-dport-rate-limit -j ACCEPT
Kopiointi
Saat käyttää tätä ohjelmaa ja lähdekoodia AGPL-lisenssin version 3 tai minkä tahansa myöhemmän Free Software Foundationin julkaiseman version ehdoilla.