Sekureco de Militant API

Tiu paĝo resumas la ĉefajn sekurecajn tavolojn de la Militant API.

Realigitaj protektoj

• 64-signaj SHA-256 tokenoj
• aŭtomata eksvalidiĝo kaj nuligo
• rate limiting laŭ IP kaj laŭ finpunkto
• protekto kontraŭ brute force, SQL injection, XSS kaj path traversal
• strikta validigo de enigoj
• sekurecaj kaplinioj kiel HSTS, CSP kaj X-Frame-Options
• agordebla CORS
• registrado de sekurecaj eventoj

Produktadaj rekomendoj

Devigi HTTPS

En /api/.env:

API_REQUIRE_HTTPS=true

Limigi CORS

API_CORS_ORIGINS=https://app.example.com,https://mobile.example.com

Malaktivigi debug

API_DEBUG=false

Uzi dediĉitan SQL-uzanton

CREATE USER 'api_user'@'localhost' IDENTIFIED BY 'forta_pasvorto';
GRANT SELECT, INSERT, UPDATE, DELETE ON militant.* TO 'api_user'@'localhost';
FLUSH PRIVILEGES;

Monitori protokolojn

tail -f /var/log/apache2/error.log | grep "API Security"
tail -f /var/log/apache2/access.log | grep "/api/"

Bonaj praktikoj

• neniam montri tokenojn en klientaj protokoloj
• uzi nur HTTPS en produktado
• konservi tokenojn en sekura ŝlosilejo
• rotacii kaj nuligi tokenojn kiam necese
• teni PHP kaj dependecojn ĝisdatigitaj

Raporti vundeblecojn

Ne malfermu publikan issue por sekureca problemo. Uzu la privatan sekurecan kanalon.

---