La risposta rapida è sì, come hai capito. Ma non è necessario che sia l'enorme lavoro a cui stai pensando. (L'intera questione della sicurezza potrebbe essere grande, ma questa è solo una parte di essa). Hai problemi molto più seri di così.
Perché è importante
QUALSIASI COSA che crei sarà colpito dai tentativi di romperlo. Qualcuno sarà curioso. Qualcuno farà qualcosa che non ti saresti mai aspettato e che sfida il tuo pensiero. Qualcuno sarà curioso, o malizioso o ficcanaso.
Dovresti anche dare per scontato che il tuo software / app web verrà sottoposto a duri test con strumenti automatizzati . I server con un portale online (di quasi tutti i tipi) vengono scoperti dagli hacker entro decine di minuti dal primo accesso online e iniziano a essere indagati per una qualsiasi delle migliaia di possibili errori di sicurezza o sviste. Ciò significa che sondano ciò che è esattamente in esecuzione "dietro le quinte", nonché eventuali errori rilevabili che possono essere sfruttati (nella convalida dei dati, nella convalida del cross scripting, SQL o iniezione binaria, hacking JavaScript, i punti deboli possono sorgere costringendo qualcosa a fallire, quali dati possono essere esposti ...).
I tuoi server web verranno controllati in questo modo, costantemente, per ogni possibile codice web e errori di back-end, da centinaia se non migliaia di strumenti automatizzati. Questo va bene come gli umani e gli utenti, non al posto di.
Preferiresti che questo fosse molto lontano e portato alla tua attenzione con forza da critici, media e utenti arrabbiati, o portato alla responsabilità? O preferiresti risolverlo?
Come risolverlo
Non è un lavoro enorme in un certo senso. Si crea un framework di sicurezza e quindi ogni pagina lo importa o lo utilizza. I concetti per farlo non sono difficili e sono ben documentati. Quindi il numero di pagine non è un grosso problema.
La parte difficile del lavoro è che la sicurezza è difficile . Il tuo vero problema è che, dal fatto che ci sono questi problemi e stai facendo queste domande, non ne sai abbastanza per avere una speranza di farlo senza aiuto. Sul serio. Tu. Fare. No.
Non so quale sia la dimensione della tua squadra o delle risorse. Ne hai bisogno e probabilmente non hai alcuna speranza di farlo senza un aiuto esterno.
La mia vera preoccupazione qui
Detto questo, la mia vera preoccupazione non è l'app web . È la mentalità che suggerisce questa domanda.
Immagina che stia pensando di acquistare o utilizzare la tua app.
Non aiuta né rassicura il lettore il fatto che tu consideri la sicurezza come un ripensamento, un'interruzione del tuo lavoro o un inconveniente da risolvere in seguito (o non lo capisci abbastanza da averlo trattato in quel modo), e forse i problemi sono cose davvero fondamentali, come codificare correttamente l'URL di un pulsante .
La sicurezza è il tuo lavoro, perché per quanto tecnicamente meraviglioso sia il prodotto / servizio e chiunque siano i suoi utenti, il tuo prodotto reale è la fiducia e la rassicurazione che risponderai alle mie esigenze e non mi causerai un grave disastro.
Dovrei fidarmi della tua app con i miei dati? In questo momento, e mi dispiace dirlo, penso che potrei anche pubblicarlo su Google+ da solo. Sì, è "quella brutta" situazione e impressione, e no questo non è esagerato per l'effetto.
Mi dispiace.
Ora, se la tua app è valida, coinvolgi qualcun altro.