ry
/
datarekisteri
6
0
Fork 0
Code Issues 10 Pull Requests Packages Projects Releases Wiki Activity
Yhdistyksen jäsenrekisterin lähdekoodi https://rekisteri.datat.fi
4 Commits 2 Branches 0 Tags 450 KiB
Haskell 71%
Scheme 29%
Go to file
Saku Laesvuori 3c51fb5dda
Update dependencies 		2023-04-14 23:39:43 +03:00
Client Update dependencies 2023-04-14 23:39:43 +03:00
Server Update dependencies 2023-04-14 23:39:43 +03:00
db Initial commit 2023-01-31 23:17:49 +02:00
COPYING.md Add README 2023-01-31 23:17:52 +02:00
Client.hs Initial commit 2023-01-31 23:17:49 +02:00
PrintSchema.hs Initial commit 2023-01-31 23:17:49 +02:00
README.md Add README 2023-01-31 23:17:52 +02:00
Server.hs Initial commit 2023-01-31 23:17:49 +02:00
Setup.hs Initial commit 2023-01-31 23:17:49 +02:00
channels.scm Update dependencies 2023-04-14 23:39:43 +03:00
datarekisteri.cabal Update dependencies 2023-04-14 23:39:43 +03:00
guix.scm Update dependencies 2023-04-14 23:39:43 +03:00
schema.gql Require phone number to register 2023-04-10 11:37:43 +03:00

README.md

Datarekisteri Datat RY:n jäsenrekisteri

Datayhdistyksen jäsenrekisterin lähdekoodi. Tavoitteena on saada mahdollisimman paljon toiminnallisuudesta abstraktoitua ja siirrettyä rekisteri:iin.

Käänteisen välityspalvelimen asetukset

Käänteisen välityspalvelimen pitäisi määritellä CSP estämään kaikkien skriptien ajaminen, koska datarekisterin ei tarvitse ajaa koodia käyttäjän laitteella. Content-Type-Options estää selaimia tulkitsemasta tiedostoja virheellisesti skripteiksi tai tyylitiedostoiksi.

Content-Security-Policy: default-src 'self'; scrip-src 'none'; object-src 'none'
X-Content-Type-Options: nosniff

Käänteisen välityspalvelimen pitää myös pakottaa kaikki liikenne kulkemaan https:n yli uudelleenohjaamalla kaikki http-kyselyt ja asettamalla Strict-Transport-Security otsikon.

Palvelunestohyökkäyksiltä suojautuminen

Datarekisteri ei vielä tee itse mitään palvelunestohyökkäysten varalta. Määritä vähintään jokin nopeusrajoitus kyselyille. Alla oleva esimerkki rajoittaa tcp-yhteyksien avaamisnopeutta. Kannattaa lisätä jokin oikoreitti palvelimelle itselleen, esim. $ iptables -A INPUT -s 127.0.0.1 -j ACCEPT ennen nopeusrajoitusta.

$ iptables -A INPUT -p tcp -m tcp --syn -m hashlimit \
  --hashlimit-upto 10/sec --hashlimit-burst 10 --hashlimit-mode srcip,dstport \
  --hashlimit-name conn-srcip-dport-rate-limit -j ACCEPT

Kopiointi

Saat käyttää tätä ohjelmaa ja lähdekoodia AGPL-lisenssin version 3 tai minkä tahansa myöhemmän Free Software Foundationin julkaiseman version ehdoilla.